Hampir lima lusin kerentanan keamanan telah diungkapkan di perangkat dari 10 vendor teknologi operasional (OT) karena apa yang disebut peneliti sebagai “praktik desain yang tidak aman”.
Secara kolektif dijuluki PL: ICEFALL oleh Forescout, 56 edisi mencakup 26 model perangkat dari Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens, dan Yokogawa.
“Mengeksploitasi kerentanan ini, penyerang dengan akses jaringan ke perangkat target dari jarak jauh dapat mengeksekusi kode, mengubah logika, file atau firmware perangkat OT, memotong otentikasi, mengkompromikan kredensial, menyebabkan penolakan layanan atau memiliki berbagai dampak operasional,” perusahaan kata dalam laporan teknis.
Kerentanan ini dapat memiliki konsekuensi bencana mengingat produk yang terkena dampak banyak digunakan di industri infrastruktur penting seperti minyak dan gas, kimia, nuklir, pembangkit listrik dan distribusi, manufaktur, pengolahan dan distribusi air, pertambangan, dan otomatisasi bangunan.
Dari 56 kerentanan yang ditemukan, 38% memungkinkan kompromi kredensial, 21% memungkinkan manipulasi firmware, 14% memungkinkan eksekusi kode jarak jauh, dan 8% kelemahan memungkinkan perusakan informasi konfigurasi.
Selain berpotensi mengizinkan penyerang untuk memberikan kode arbitrer dan membuat modifikasi yang tidak sah pada firmware, kelemahannya juga dapat dimanfaatkan untuk membuat perangkat benar-benar offline dan melewati fungsi otentikasi yang ada untuk menjalankan fungsi apa pun pada target.
Lebih penting lagi, skema otentikasi yang rusak — termasuk bypass, penggunaan protokol kriptografi yang berisiko, dan kredensial hardcoded dan plaintext — menyumbang 22 dari 56 kelemahan, yang menunjukkan “kontrol keamanan di bawah standar” selama implementasi.
Dalam skenario hipotetis dunia nyata, kekurangan ini dapat dipersenjatai terhadap jaringan pipa gas alam, turbin angin, atau jalur perakitan manufaktur terpisah untuk mengganggu transportasi bahan bakar, mengesampingkan pengaturan keselamatan, menghentikan kemampuan untuk mengontrol stasiun kompresor, dan mengubah fungsi logika yang dapat diprogram. pengontrol (PLC).
Tapi ancamannya tidak hanya teoretis. Cacat eksekusi kode jarak jauh yang memengaruhi pengontrol Omron NJ/NX (CVE-2022-31206), pada kenyataannya, dieksploitasi oleh aktor negara bagian yang dijuluki CHERNOVITE untuk mengembangkan malware canggih bernama PIPEDREAM (alias INCONTROLLER).
Manajemen risiko yang rumit adalah meningkatnya keterkaitan antara jaringan TI dan OT, ditambah dengan sifat buram dan eksklusif dari banyak sistem OT, belum lagi tidak adanya CVE, membuat masalah yang tersisa tidak terlihat serta mempertahankan fitur desain yang tidak aman untuk waktu yang lama.
Untuk mengurangi OT:ICEFALL, direkomendasikan untuk menemukan dan menginventarisasi perangkat yang rentan, menegakkan segmentasi aset PL, memantau lalu lintas jaringan untuk aktivitas anomali, dan membeli produk yang dirancang dengan aman untuk memperkuat rantai pasokan.
“Pengembangan malware baru-baru ini yang menargetkan infrastruktur penting, seperti Industroyer2, Triton, dan INCONTROLLER, telah menunjukkan bahwa pelaku ancaman sadar akan sifat desain teknologi operasional yang tidak aman dan siap untuk mengeksploitasinya untuk mendatangkan malapetaka,” kata para peneliti.
“Meskipun peran penting yang dimainkan oleh upaya pengerasan berbasis standar dalam keamanan OT, produk dengan fitur desain yang tidak aman dan kontrol keamanan yang rusak ringan terus disertifikasi.”