Tri sigurnosna propusta otkrivena su u proizvodima operativne tehnologije (OT) kompanija Wago i Schneider Electric.
Nedostaci su, prema Forescout-u, dio šireg skupa nedostataka koji se zajednički nazivaju OT:ICEFALL, koji sada sadrži ukupno 61 problem koji obuhvata 13 različitih dobavljača.
“OT:ICEFALL pokazuje potrebu za strožim ispitivanjem i poboljšanjima procesa koji se odnose na siguran dizajn, zakrpe i testiranje kod dobavljača OT uređaja” navodi kompanij u izvještaju koji je podijeljen za The Hacker News.
Najozbiljniji od nedostataka je CVE-2022-46680 (CVSS rezultat: 8,8), koji se tiče prenosa kredencijala u otvorenom tekstu u ION/TCP protokolu koji koriste mjerači struje kompanije Schneider Electric.
Uspješno iskorištavanje greške moglo bi omogućiti hakerima da preuzmu kontrolu nad ranjivim uređajima. Vrijedi napomenuti da je CVE-2022-46680 jedna od 56 nedostataka koje je Forescout prvobitno otkrio u junu 2022. godine.
Druge dvije nove sigurnosne rupe (CVE-2023-1619 i CVE-2023-1620, CVSS rezultati: 4,9) odnose se na greške u slučaju uskraćivanja usluge (DoS) koje utiču na WAGO 750 kontrolere koje bi autentifikovani napadač mogao aktivirati slanjem određenih pogrešno oblikovanih paketa ili specifičnih zahtjeva nakon odjavljivanja.
Završavajući istraživanje OT:ICEFALL-a, Forescout napominje da dobavljači još uvijek nemaju temeljno razumijevanje praksi bezbjednosti po dizajnu i da objavljuju nekompletne zakrpe i ne implementiraju odgovarajuće procedure testiranja sigurnosti.
“Ovo je zabrinjavajuće jer kako OT proizvodi počnu implementirati sigurnosne kontrole i na kraju dobijaju sertifikat, percepcija njihovog sigurnosnog položaja bi se mogla promijeniti i osjećaj hitnosti oko kompenzacijskih kontrola mogao bi pasti, što bi dovelo do lažnog osjećaja sigurnosti” rekli su iz kompanije.
Izvor: The Hacker News
