Các lỗ hổng nghiêm trọng trong nền tảng phổ biến được sử dụng bởi các hệ thống điều khiển công nghiệp (ICS) cho phép truy cập thiết bị trái phép, thực thi mã từ xa (RCE) hoặc từ chối dịch vụ (DoS) có thể đe dọa tính bảo mật của cơ sở hạ tầng quan trọng.

Các nhà nghiên cứu Jared Rittle của Cisco Talos đã phát hiện ra tổng cộng tám lỗ hổng—hai trong số đó là nghiêm trọng—trong Nền tảng Phần mềm Tự động hóa Mở (OAS), lỗ hổng nghiêm trọng nhất cho phép kẻ tấn công thực thi mã tùy ý trên máy mục tiêu, theo một bài đăng blog được xuất bản trong tuần này. Các lỗ hổng ảnh hưởng đến Nền tảng OAS của Phần mềm tự động hóa mở, phiên bản 16.00.0112.

OAS—được cung cấp bởi một công ty cùng tên–giúp dễ dàng truyền dữ liệu giữa các thiết bị và ứng dụng độc quyền, bao gồm cả phần mềm và phần cứng. Cốt lõi của nó là cái được gọi là Trình kết nối dữ liệu phổ quát, cho phép “di chuyển và chuyển đổi dữ liệu cho các quy trình kinh doanh quan trọng như học máy, khai thác dữ liệu, báo cáo và trực quan hóa dữ liệu”, theo trang web của OAS.

Nền tảng OAS được sử dụng rộng rãi trong các hệ thống trong đó nhiều thiết bị và phần mềm khác nhau cần giao tiếp, đó là lý do tại sao nó thường được tìm thấy trong ICS để kết nối các thiết bị công nghiệp và IoT, hệ thống SCADA, điểm mạng cũng như các ứng dụng và API tùy chỉnh, cùng nhiều thứ khác. phần mềm và phần cứng. Một số công ty sử dụng nền tảng này bao gồm Intel, Mack Trucks, Hải quân Hoa Kỳ, JBT AeroTech và Michelin.

Cơ sở hạ tầng quan trọng có nguy cơ

Một chuyên gia bảo mật nhận xét rằng sự hiện diện của Nền tảng OAS trong các hệ thống này là lý do tại sao các lỗ hổng có thể cực kỳ nguy hiểm và lưu ý rằng các thiết bị này thường chịu trách nhiệm vận hành các quy trình có độ nhạy cao liên quan đến các ngành quan trọng như tiện ích và sản xuất.

Chris Clements, phó chủ tịch kiến ​​trúc giải pháp của công ty bảo mật: “Kẻ tấn công có khả năng phá vỡ hoặc thay đổi chức năng của các thiết bị đó có thể gây ra thiệt hại thảm khốc cho các cơ sở hạ tầng quan trọng”. Lính canh Cerberus, đã viết trong một email tới Threatpost.

Ông nói, điều có thể đặc biệt nguy hiểm trong các cuộc tấn công ICS là chúng có thể không rõ ràng ngay lập tức, điều này có thể khiến chúng khó bị phát hiện và cho phép chúng gây ra thiệt hại đáng kể trong khi những người điều hành cũng không hề khôn ngoan hơn.

Clements đã trích dẫn câu chuyện nổi tiếng hiện nay Sâu Stuxnet đã được tuyên truyền cách đây hơn 10 năm như một ví dụ về mức độ tàn phá mà mối đe dọa ICS có thể gây ra nếu nó bay dưới tầm radar.

Mạng lưới “là một nghiên cứu điển hình về những rủi ro này, vì nó không phá vỡ ngay lập tức các thiết bị điều khiển công nghiệp mà nó nhắm tới mà thay đổi chức năng của chúng theo cách khiến các bộ phận công nghiệp quan trọng cuối cùng bị hỏng nghiêm trọng, đồng thời báo cáo sai cho hệ thống giám sát rằng mọi thứ đều có thể xảy ra”. vẫn hoạt động bình thường”, ông nói.

 Các lỗ hổng

Trong số các lỗ hổng trong OAS được Cisco Talos phát hiện, lỗ hổng có xếp hạng nghiêm trọng nhất trên CVSS (9.4) đang được theo dõi là CVE-2022-26833, hoặc là TALOS-2022-1513. Các nhà nghiên cứu cho biết, đây là một lỗ hổng xác thực không phù hợp trong REST API trong OAS, có thể cho phép kẻ tấn công gửi một loạt yêu cầu HTTP để sử dụng API mà không được xác thực.

Tuy nhiên, lỗi được các nhà nghiên cứu coi là nghiêm trọng nhất lại được đánh giá 9.1 trên CVSS và đang được theo dõi là CVE-2022-26082, hoặc là TALOS-2022-1493. CVE-2022-26082 là lỗ hổng ghi tệp trong chức năng OAS Engine SecureTransferFiles, có thể cho phép kẻ tấn công thực thi mã tùy ý trên máy mục tiêu thông qua một loạt yêu cầu mạng được chế tạo đặc biệt.

Các lỗ hổng khác mà Cisco Talos phát hiện được xếp hạng có mức độ nghiêm trọng cao. Lỗ hổng có thể dẫn đến DoS đang được theo dõi dưới dạng CVE-2022-26026 or TALOS-2022-1491và được tìm thấy trong chức năng OAS Engine SecureConfigValues ​​của nền tảng. Nó có thể cho phép kẻ tấn công tạo một yêu cầu mạng được chế tạo đặc biệt có thể dẫn đến mất liên lạc.

Hai lỗ hổng khác, CVE-2022-27169 or TALOS-2022-1494 và CVE-2022-26067 or TALOS-2022-1492Các nhà nghiên cứu viết, có thể cho phép kẻ tấn công lấy được danh sách thư mục tại bất kỳ vị trí nào được người dùng cơ bản cho phép bằng cách gửi một yêu cầu mạng cụ thể.

Một lỗ hổng tiết lộ thông tin khác được theo dõi là CVE-2022-26077 or TALOS-2022-1490, hoạt động theo cách tương tự, các nhà nghiên cứu cho biết. Tuy nhiên, lỗ hổng này cũng cung cấp cho kẻ tấn công danh sách tên người dùng và mật khẩu của nền tảng có thể được sử dụng trong các cuộc tấn công trong tương lai.

Hai lỗ hổng còn lại có thể cho phép kẻ tấn công thực hiện các thay đổi cấu hình bên ngoài, bao gồm khả năng tạo nhóm bảo mật mới và/hoặc tài khoản người dùng mới một cách tùy ý trên nền tảng. Họ đang bị theo dõi như CVE-2022-26303 or TALOS-2022-1488và CVE-2022-26043 or TALOS-2022-1489.

Cập nhật khẩn cấp, nhưng có thể mất thời gian

Cisco Talos đã làm việc với OAS để giải quyết vấn đề và kêu gọi những người bị ảnh hưởng cập nhật sớm nhất có thể. Các nhà nghiên cứu lưu ý rằng những người dùng bị ảnh hưởng cũng có thể giảm thiểu các sai sót bằng cách đảm bảo phân đoạn mạng phù hợp, điều này sẽ mang lại cho đối thủ mức độ truy cập thấp vào mạng mà Nền tảng OAS giao tiếp.

Các chuyên gia bảo mật lưu ý rằng mặc dù cập nhật hệ thống là cách tốt nhất để bảo vệ khỏi các cuộc tấn công tiềm ẩn khi tồn tại lỗ hổng nhưng đây thường không phải là nhiệm vụ nhanh chóng và dễ dàng, đặc biệt đối với các nhà khai thác ICS.

Trên thực tế, do tính chất của các hệ thống, việc đưa các hệ thống công nghiệp vào chế độ ngoại tuyến là một nhiệm vụ “cực kỳ đột phá”, đó là lý do tại sao các bản vá ICS thường bị trì hoãn hàng tháng hoặc hàng năm, Clements cho biết.