Los informes de vulnerabilidades de ICS aumentan rápidamente



Se espera que un mayor escrutinio de productos para sistemas de management industrial exponga aún más debilidades en dispositivos que ejecutan infraestructura crítica.

Comenzó en enero con un concurso de piratería de sistemas de regulate industrial (ICS) en Miami en medio de un frente frío repentino que literalmente paralizó y derribó a parte de la población de iguanas que se aferran a los árboles de la ciudad. Dentro de una sala adyacente al vestíbulo del histórico teatro Fillmore de South Seashore y a salvo de los elementos (y lagartos que caen), los investigadores de seguridad hackearon puertas de enlace SCADA, servidores de regulate, interfaces hombre-máquina (HMI), una estación de trabajo de ingeniería y otro program ICS en el primer concurso ICS Pwn2Possess.

El hecho de que las 25 entradas de productos de ICS fueran pirateadas con éxito no fue una gran sorpresa, ya que muchos ICS, especialmente los productos de nuevos proveedores, carecen notoriamente de funciones de seguridad y contienen program inseguro. Se esperaba que el evento, dirigido por Zero-Day Initiative (ZDI) de Craze Micro como parte de la conferencia anual S4x20 ICS, abriera las compuertas para un mayor escrutinio de los investigadores sobre los productos ICS, y los nuevos datos publicados hoy muestran que eso es exactamente lo que siguió.

En la primera mitad de 2020, hubo un 10,3% más de vulnerabilidades de ICS reportadas en la Foundation de Datos Nacional de Vulnerabilidades (NVD) y un aumento del 32,4% de las advertencias de ICS-CERT para vulns en comparación con el año anterior. Más del 75% de las fallas de ICS reportadas este año fueron calificadas como altas o críticas, según un informe de la firma de seguridad ICS Claroty. Más del 70% de las fallas de ICS reportadas en la primera mitad de 2020 son explotables de forma remota, 365 fallas de ICS aterrizaron en el NVD y 139 avisos llegaron a través de ICS-CERT, según muestran los datos.

Esto es solo la punta del iceberg ahora que más investigadores están entrenando sus habilidades de piratería en productos ICS a raíz del concurso de enero, mientras que más nuevos proveedores de ICS están ingresando al mercado, según Amir Preminger, vicepresidente de investigación de Claroty. quien también compitió en el ICS Pwn2Own. El concurso otorgó un overall de $ 280,000 en premios a los equipos ganadores.

Preminger espera que se den a conocer públicamente muchos más casos de ICS antes de fin de año.

«Vamos a presenciar un aumento mayor a medida que avancemos debido a COVID», dice, lo que deja a los sistemas de infraestructura crítica en mayor riesgo de ataque dada la mayor dependencia de esos sistemas a medida que más personas se quedan en casa y trabajan desde casa durante la pandemia. . La atención también se ha centrado en ayudar a las organizaciones de TO a proteger mejor sus sistemas de infraestructura crítica, con asesoramiento conjunto del CISA del Departamento de Seguridad Nacional de los Estados Unidos y la Agencia de Seguridad Nacional, así como una orden ejecutiva emitida por la Casa Blanca a principios de este año, señala.

Busque más vulnerabilidades y correcciones en la segunda mitad, dice Preminger.

Las fallas de ICS expuestas este año se encontraron en productos utilizados en infraestructura crítica: el informe muestra que de las 385 fallas incluidas en el aviso de seguridad, 236 afectan el sector energético, 197 afectan la fabricación crítica y 171 afectan el agua y las aguas residuales. Eso es un aumento del 58,9% para la energía, el 87,3% para la fabricación crítica y el 122% para el agua y las aguas residuales durante el mismo período en 2019.

«Cuando ve tantas (fallas) de ejecución de manage remoto, eso en realidad se correlaciona con el hecho de que tiene muchos nuevos (proveedores)», dice Preminger. Algunos de estos proveedores no tienen un programa de ciclo de vida de desarrollo seguro y «algunos de estos productos nunca se someten a ninguna revisión de seguridad antes de su lanzamiento», agrega.

Dale Peterson, director ejecutivo de Digital Bond y director de la conferencia S4, también señala que los datos del informe de Claroty reflejan principalmente los esfuerzos intensificados de los investigadores para encontrar fallas en los sistemas ICS.

«No refleja el riesgo para la comunidad de ICS, no refleja que las cosas están siendo más o menos vulnerables», dice. «No cambia el perfil de riesgo o lo que hacen los propietarios de activos».

La forma en que un producto se remedia por una falla de seguridad depende de si arreglarlo rompería una función o interrumpiría un proceso industrial.

«Hay casos en los que las vulnerabilidades están en alguna parte aislada de la aplicación y la cambias (arreglas) y no afecta nada», explica Peterson. «Hay otros problemas enterrados profundamente, de modo que si hace ese cambio, un montón de cosas no van a funcionar, por lo que no puede simplemente lanzar un parche sin romper el sistema».

Un investigador puede tardar entre un mes y tres meses en lograr la ejecución remota de código aprovechando una vulnerabilidad ICS, dice Preminger. «No es un &#39si&#39 sino un &#39cuándo&#39» para que un atacante haga lo mismo, señala.

«El mayor riesgo de COVID es … lo que vimos en las vulnerabilidades de acceso remoto en los productos ICS», dice.

Para las organizaciones industriales, se trata de conocer los agujeros de seguridad de sus ICS y asegurarse de que estén instalados de forma segura en la purple y no expuestos inadvertidamente a la Web pública.

«Desafortunadamente, todavía se ven muchos de ellos conectados directamente a World wide web», dice Preminger. «Algunos de ellos son viejos y simplemente lo dejan en World-wide-web, y otros son nuevos y no deberían estar conectados, incluso si ese dispositivo no tiene un CVE. Los atacantes podrían usarlo para una botnet» o como una forma de romper en la crimson.

El parcheo no siempre es la solución para las organizaciones de OT, por supuesto, por lo que se trata de trazar el riesgo de la red.

«Estamos tratando de asesorar a los clientes sobre cómo construir mejor sus redes en términos de segmentación o capas», dice Preminger. «Al aprovechar estos datos (vuln), pueden diseñar mejor lo que tienen por adelantado o (determinar) dónde aumentar su capa de seguridad contra otras vulnerabilidades. Pueden priorizar mejor».

De los 365 ICS vulns reportados en la primera mitad de 2020, 26 fueron descubiertos por Claroty, y más de la mitad de esos defectos son explotables de forma remota.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Studying. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Network Computing, Safe Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial