网络安全行业热议OT:Icefall漏洞:世界末日or见怪不怪?

admin 2022年6月29日11:46:15安全闲碎评论102 views3875字阅读12分55秒阅读模式
网络安全公司Forescout披露了OT:Icefall,这是在制造运营技术(OT)系统的10家公司的产品中发现的56个漏洞的集合。Forescout研究人员发现了与不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新机制和本机功能滥用相关的问题。
安全漏洞影响各种类型的工业控制系统(ICS),包括工程工作站、PLC、分布式控制系统、楼宇控制器、安全仪表系统、远程终端单元和 SCADA系统。利用这些漏洞可能导致远程代码执行、DoS攻击、固件操作、凭据泄露和身份验证绕过。
受影响的供应商包括贝克休斯(Bentley Nevada)、艾默生、霍尼韦尔、捷太格特、摩托罗拉、欧姆龙、菲尼克斯电气、西门子和横河电机。这些公司已经开始分享针对这些漏洞的缓解措施。专业警告说,未来2年能源部门遭受网络攻击的风险会增加。超过85%的能源、可再生能源和石油和天然气行业专家表示,对该行业的网络攻击可能导致停工、能源资产和关键基础设施受损。网络安全行业专业人士对OT:Icefall漏洞的各个方面发表了评论,并为受影响的组织提供了建议。
SynSaber联合创始人兼首席技术官Ron Fabela
“虽然OT:ICEFALL中发现的漏洞的广度和深度看起来像是世界末日,但Forescout的报告概述了我们业内许多人已经知道的事情:协议不安全、未经身份验证以及其他“设计不安全”的工程选择这从来都不是真正意义上的CVE。同样,这些不是信息安全可以识别的漏洞,而是真正的“这不是错误,而是工业特性”。 
协议被设计为不使用身份验证,尽管工业协议有安全选项,但采用速度很慢。“协议不使用身份验证”可能会在多个供应商和业务线中生成数千个CVE,因为从来没有想过要进行身份验证。但是,产生数千个CVE、捆绑供应商产品安全团队和资产所有者,真的会对我们关键基础设施的安全性产生积极影响吗?OT:ICEFALL报告结构良好、非常详细,并且从安全角度对遗留ICS“漏洞”有深刻的洞察力,但是,由于正在生成CVE编号,这将引发大量不必要的漏洞跟踪和管理,而无需补丁并且很少有缓解措施。”
The Media Trust首席执行官Chris Olson
“信息技术(IT)和运营技术(OT)的持续融合为不断扩大的OT漏洞铺平了道路,这些漏洞将在未来几年继续威胁公共安全和国家安全。即使在设计OT系统时考虑了网络安全,不安全的IT边界也会创建全球网络参与者可以用来破坏关键基础设施的渠道,尤其是在远程工业控制系统(ICS)发挥作用时。 
当前,地缘政治紧张局势和网络战的可能性越来越大,使得OT漏洞成为民族国家行为者的当务之急。在佛罗里达供水黑客事件、对殖民管道的攻击和许多类似事件之后,这些漏洞对美国构成了已证实的威胁。作为回应,公共和私营部门的组织不仅应该采取措施保护OT,还应该加强他们的IT防御并锁定他们的数字生态系统。”
Rapid7首席安全研究员Deral Heiland
“其中许多已发现的漏洞与硬编码或默认凭据有关。虽然不是新问题,但硬编码和默认凭证漏洞已经困扰该行业很长一段时间,并且通常是嵌入式技术解决方案中最典型的问题,包括医疗、工业(OT)和消费级设备。我强烈建议所有嵌入式技术设备(OT、IoT)供应商从将NIST文档NISTR 8259“物联网设备网络安全能力核心基线”指南应用于他们的产品开始。这至少会解决我们继续遇到的一些核心问题。”
Cerberus Sentinel解决方案架构副总裁Chris Clements
“人们可能错误地认为,在关键基础设施环境中执行一些最重要和最敏感任务的工业控制和操作技术设备将是世界上最安全的系统之一,但现实往往恰恰相反。扮演这些角色的许多设备都具有安全控制,攻击者非常容易破解或绕过这些安全控制来完全控制这些设备。
我相信这是一个正在经历一场姗姗来迟的网络安全清算的行业。敏感操作技术设备的制造商必须采用一种网络安全文化,这种文化从设计过程的一开始就开始,一直持续到验证最终产品中的最终实施。组织对自己执行此类验证的能力诚实也很重要。大约两年半前,施奈尔定律著名地提出了这一限制:“任何人,从最无知的业余爱好者到最优秀的密码学家,都可以创建一个他自己无法破解的算法。这甚至不难。难的是创建一种其他人都无法破解的算法,即使经过多年的分析。
制造商应听取此建议并招聘人员或与具有破坏其系统经验的外部组织签订合同,以验证最终产品是否尽可能安全,以防止具有先进的复杂性和强大动机来破坏关键基础设施客户的威胁参与者的利用谁使用他们的设备。”
Nucleus Security漏洞研究工程师Ryan Cribelar
“随着这些Icefall漏洞的发布,不安全的设计又回来困扰我们。在尘土飞扬的OT/ICS系统之上引入更复杂的IT系统使攻击者能够在我们最重要的技术中发现一些最基本的缺陷。从安全方法的角度来看,很久以前人们认为,考虑到CIA模型,可用性和完整性比机密性更重要,因为它与OT系统和ICS环境有关。如果运行的东西让某人活着,它需要可用,我们需要确保它正常运行并按预期运行。这种逻辑的意图是无辜的,因为网络攻击基本上是无关紧要的!有一些OT网络是在没有考虑网络攻击的情况下构建的,因为它们根本不存在。
附加物联网和IT设备的分层使攻击者有了一把镐子,可以开始挖掘他们背后的东西,即OT和ICS。有许多恶意软件专门针对关键基础设施,这在该领域是相当新的东西。这需要通过大胆、积极的回应来应对,从我们设计不安全的OT和ICS系统的错误中吸取教训。缺乏响应来缓解在OT或ICS 环境中发现的漏洞可能是由于缺少CVE等简单原因!在OT中发现的一些漏洞被忽视只是因为每个人都知道OT是不安全的。有人可能会争辩说,最近围绕乌克兰战争发生的事件是攻击者了解、学习和发现OT和ICS环境的新攻击媒介的催化剂。 
在过去的二十年中,进攻性安全方面的这种进步和其他进步表明,设计不安全是一个应该留在安全墓地中的原则,因为在进行风险评估时,这应该被视为不回应。当前允许这种设计存在的认证应该更新他们的程序,以更好地反映我们关键基础设施所处的新环境。总体而言,这种情况如此糟糕的是,其中一些对关键基础设施的攻击可以通过一个小但熟练的团队,具有基本的OT进攻能力和合理的成本。
Dispersive Holdings首席执行官Rajiv Pimplaskar
“正如报告所示,利用ICS SCADA系统和物联网设备的关键基础设施行业对威胁参与者构成了有吸引力的软目标,因为相当大比例的资产存在漏洞。此外,它们往往不属于IT组织的责任及其网络安全计划的范围。 
石油和天然气、化工、核能、发电和配电、制造、水处理、采矿和楼宇自动化以及其他运营技术(OT)密集型企业应特别警惕,并使用零信任策略和利用能够保护IT和OT资产的下一代VPN技术。一个关键策略是云混淆,其中源和目标关系以及敏感数据流使用智能安全通信覆盖进行匿名和私有化,这使得不良行为者几乎不可能首先检测和定位此类易受攻击的设备。”
Skybox销售工程总监Terry Olaes
“这再次提醒我们,关键基础设施仍然是网络犯罪分子的首要目标。Skybox研究实验室发现,运营技术(OT)产品中的新漏洞同比上升了88%。我们的研究人员经常看到仅依赖传统漏洞管理方法的组织会首先根据通用漏洞评分系统(CVSS)修补最严重的漏洞。网络犯罪分子知道这就是有多少公司处理他们的网络安全问题,因此他们学会了利用被视为不太重要的漏洞来进行攻击。此外,在OT的情况下,用于利用这些设备的机制不太复杂,因为这些技术的设计旨在最大程度地减少摩擦并重点关注HSE影响。
为了领先于网络犯罪分子,公司必须在黑客攻击他们之前解决漏洞暴露风险。这意味着通过学习识别整个威胁环境中暴露的漏洞并确定其优先级,采取更主动的漏洞管理方法。组织应确保他们拥有能够将网络风险的业务影响量化为经济影响的解决方案。这将帮助他们根据财务影响的大小以及其他风险分析(例如基于风险的风险评分)来识别和优先考虑最关键的威胁。他们还必须提高漏洞管理计划的成熟度,以确保他们能够快速发现漏洞是否影响他们以及修复的紧迫性。”
KnowBe4安全意识倡导者James McQuiggan
“关于制造、发电或工业控制系统(ICS)中使用的OT(运营技术)系统,这些系统必须在防火墙后面进行保护,并提供强大的访问控制,并在可能的情况下进行额外的分段,以降低泄露和利用的风险。
随着最近发布的漏洞以及远程代码执行、凭据泄露和身份验证绕过的巨大影响,网络犯罪分子可以快速访问ICS环境以执行邪恶和危险的操作。进行Shodan搜索(互联网连接设备的谷歌),发现与Icefall报告相关的近6000台易受攻击的设备暴露在互联网上,几乎没有保护。 
组织希望隔离他们无法修补或更新的设备,并考虑将它们移到额外的防火墙后面。考虑使用跳转系统进行远程访问,或者将任何机器数据发送到组织内部的其他地方进行数据收集。”
原文链接:
https://www.securityweek.com/industry-reactions-oticefall-vulnerabilities-found-ics-products


原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   [email protected]
网络安全行业热议OT:Icefall漏洞:世界末日or见怪不怪?

原文始发于微信公众号(关键基础设施安全应急响应中心):网络安全行业热议“OT:Icefall”漏洞:世界末日or见怪不怪?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日11:46:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全行业热议OT:Icefall漏洞:世界末日or见怪不怪? http://cn-sec.com/archives/1140367.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: