Parchar vulnerabilidades en entornos industriales siempre ha sido un desafío debido a problemas de interoperabilidad, requisitos estrictos de tiempo de actividad y, en ocasiones, antigüedad de los dispositivos. Según un análisis reciente, un tercio de las vulnerabilidades ni siquiera están parcheadas o reparadas.
Según un análisis de SynSaber, empresa de seguridad especializada en vigilancia de plantas industriales y redes.
Simplemente contar las vulnerabilidades sin considerar su impacto y la probabilidad de explotación está lejos de ser un método adecuado de evaluación de riesgos, pero la tendencia puede ser preocupante en un momento en que está aumentando la cantidad de ataques dirigidos a operadores de plantas industriales en varias industrias. En comparación, la cantidad de errores de ICS sin parchear en la primera mitad del año fue del 13% desde un 681 mucho más bajo.
«Incluso cuando hay un parche de software o firmware disponible, los propietarios de los activos aún enfrentan una serie de limitaciones», advierten los investigadores de SynSaber en su informe. “No se puede simplemente parchear ICS. Los proveedores de fabricantes de equipos originales (OEM) a menudo tienen rigurosos procesos de prueba, aprobación e instalación de parches que retrasan las actualizaciones. Los operadores deben considerar la interoperabilidad y las limitaciones de la garantía para los cambios en todo el entorno y esperar el próximo ciclo de mantenimiento».
No todos los errores de ICS son iguales
Las vulnerabilidades pueden diferir de muchas maneras además de tener diferentes clasificaciones de criticidad y afectar diferentes entornos de manera diferente. Por ejemplo, las vulnerabilidades de corrupción de la memoria, como las escrituras fuera de los límites, pueden provocar la ejecución de código arbitrario o bloqueos de aplicaciones (denegación de servicio). El primero es obviamente más severo en general, pero en un contexto ICS, donde los dispositivos se usan para monitorear y ejecutar procesos físicos críticos, la Denegación de Servicio puede tener un impacto más severo que en los entornos típicos de TI.
Las escrituras fuera de los límites y las lecturas fuera de los límites fueron las vulnerabilidades más comunes (CWE) relacionadas con CVE en los avisos de CISA entre julio y diciembre de 2022, según un nuevo informe de ICS y la empresa de seguridad de IoT Nozomi Networks Top 10 list is completado por:
- Validación de entrada incorrecta (CWE-20)
- Control de acceso inadecuado (CWE-284)
- Restricción incorrecta de un nombre de ruta a un directorio restringido, también conocido como ruta transversal (CWE-22)
- Autenticación faltante para función crítica (CWE-306)
- Neutralización incorrecta de la entrada durante la generación de la página web, también conocida como secuencias de comandos entre sitios (CWE-79)
- Uso de credenciales codificadas (CWE-798)
- Desbordamiento de búfer basado en pila (CWE-121)
- Neutralización incorrecta de elementos especiales utilizados en un comando SQL, también conocido como inyección SQL (CWE-89)
Los avisos de CISA afectaron a 184 productos únicos de 70 proveedores diferentes, siendo los sectores más afectados los críticos de fabricación, energía, sistemas de agua, atención médica y transporte. Además, alrededor de dos tercios (69 %) de las vulnerabilidades de ICS reveladas en la segunda mitad de 2022 fueron altas (58 %) o críticas (13 %) según sus calificaciones CVSS.
La buena noticia es que la probabilidad de que se explote una vulnerabilidad en entornos ICS difiere de la TI empresarial debido a factores como la accesibilidad a la red y la interacción del usuario. Los entornos y dispositivos de OT (tecnología operativa) deben estar mejor segmentados y separados de las redes de TI con controles de acceso estrictos, por lo que, al menos en teoría, debería ser más difícil para los atacantes llegar a esos dispositivos si se siguen las mejores prácticas.
Según el análisis de SynSaber, 104 CVE (11 %) requerían acceso físico o de red local al dispositivo explotado e interacción del usuario. Otro 25 % requería la interacción del usuario independientemente de la disponibilidad de la red. Ejemplos de tales vulnerabilidades son aquellas que implican el almacenamiento de una contraseña en texto sin formato (CWE-798) o secuencias de comandos entre sitios (CWE-79).
«En este ejemplo, el atacante debe tener acceso físico al dispositivo y poder interactuar con la memoria flash del sistema para obtener acceso a contraseñas de texto claro», dijeron los investigadores de SynSaber. “Es posible que un atacante adquiera o robe un dispositivo, extraiga contraseñas de la memoria flash y luego reutilice esas credenciales en un ataque. Estas cadenas de eventos requieren acceso físico y lógico, entre otras limitaciones”.
Además, la posición de la vulnerabilidad en la pila es importante, ya que afecta el nivel de aplicación de parches necesario. Por ejemplo, los errores en las aplicaciones que se ejecutan en un dispositivo son más fáciles de corregir porque es posible que solo requieran una actualización de software. Otros, profundizando en los componentes del sistema operativo, pueden requerir una actualización de firmware que requiera desconectar todos los dispositivos afectados. Esto puede resultar problemático por varias razones: los dispositivos se implementan en el campo en ubicaciones remotas y de difícil acceso, los dispositivos solo se pueden desconectar durante las horas de mantenimiento programadas, etc. Luego están las vulnerabilidades del protocolo que podrían afectar a toda una arquitectura y requerir la actualización de varios dispositivos y sistemas complementarios para mantener la interoperabilidad.
«Una cantidad significativa de dispositivos industriales solo se puede actualizar a través de una imagen flash de firmware, que puede incluir cambios en la funcionalidad además de restaurar la seguridad, sin mencionar el riesgo de que un dispositivo se ‘bloquee’ en el proceso», dijeron los investigadores de SynSaber. .
Según SynSaber, el 63 % de los errores en H2 2022 requirieron una corrección de software, el 33 % requirieron actualizaciones de firmware y el 4 % requirieron actualizaciones de protocolo. La frecuencia de los errores de firmware y protocolo fue menor que en el primer semestre, pero en general alrededor del 35 % de los CVE no tenían parches ni correcciones del proveedor y muchos de ellos podrían permanecer para siempre porque los productos ya no son compatibles o el proveedor no planea hacerlo. correcciones de liberación.
SecurityScorecard, una empresa especializada en la evaluación de la postura de seguridad cibernética, analizó todas las empresas manufactureras críticas incluidas en la lista Global 2000 Forbes y descubrió que el 48 % de ellas tenía un chat F, D o To. Específicamente, la cadencia de parcheo, uno de los factores rastreados por la empresa, se redujo de 88 (calificación B) a 76 (calificación C) para el sector de fabricación crítico de 2021 a 2022.
«El factor de cadencia de parches analiza cuántos activos heredados tiene una empresa y qué tan rápido las organizaciones reparan y aplican parches en comparación con los competidores», dijo el equipo de SecurityScorecard en su informe. “Esta disminución probablemente se deba a un mayor volumen de vulnerabilidades. La fabricación crítica experimentó un aumento del 38 % en vulnerabilidades altas año tras año”.
Un aumento en las amenazas híbridas para ICS
Históricamente, los entornos de ICS han sido principalmente un objetivo para grupos sofisticados de ciberespionaje o cibersabotaje, a menudo vinculados a gobiernos nacionales y sus agencias de inteligencia. Sin embargo, los grupos tradicionales de ciberdelincuencia, como las pandillas de ransomware y los hacktivistas, también se dirigen cada vez más a las empresas críticas de fabricación y atención médica, lo que podría provocar interrupciones en los activos considerados infraestructura crítica.
En junio, un grupo de hacktivistas llamado Gonjeshke Darande interrumpió la producción en tres empresas siderúrgicas iraníes. El mismo grupo desplegó malware de limpiaparabrisas contra el sistema de trenes de Irán a principios del año pasado. El grupo de ransomware BlackCat estuvo detrás de un ataque contra la empresa estatal italiana de servicios energéticos GSE y la empresa energética colombiana EPM. Un ciberataque motivado por negocios contra Supeo, un proveedor de soluciones de gestión de activos para empresas ferroviarias, provocó interrupciones en el horario de trenes en Dinamarca. El ransomware Hive golpeó a Tata Power, la compañía de energía más grande de la India, y la banda de ransomware LockBit golpeó a Continental, un gigante de la tecnología automotriz y ferroviaria.
«Durante los últimos seis meses, hemos sido testigos de ataques cibernéticos en infraestructura crítica, afectando industrias desde el transporte hasta la atención médica», dijeron investigadores de Nozomi Networks. «Los ataques en curso a los ferrocarriles han dado lugar a políticas diseñadas para ayudar a los operadores ferroviarios a proteger sus activos. Los hacktivistas han optado por utilizar malware de limpiaparabrisas para lanzar ataques disruptivos en infraestructura crítica para socavar su postura política en la guerra entre Rusia y Ucrania para fortalecer».
Además, las líneas entre APT y los ataques de ciberdelincuencia se han desdibujado a medida que los actores del estado-nación emplean técnicas de destrucción similares al ransomware y los ciberdelincuentes emplean tácticas de persistencia y sigilo del estado-nación. La semana pasada, miembros del grupo hacktivista GhostSec se jactaron de haber logrado encriptar una RTU (Remote Terminal Unit) cuando se trataba de un enrutador 3G con capacidades de comunicación en serie, lo que entraría más en la categoría de «puerta de enlace de comunicaciones». En el espacio ICS, las RTU son sistemas programables especializados que conectan dispositivos ICS de campo a sistemas SCADA (Control de supervisión y adquisición de datos).
Según la telemetría anónima recopilada por Nozomi Networks de los entornos ICS del cliente, los tipos de alerta de ataque más comunes observados fueron contraseñas de texto no cifrado y contraseñas débiles, seguidas de coincidencias de reglas de paquetes sospechosas, cifrado débil, inundación TCP SYN y paquetes de red defectuosos. Todos estos vectores podrían utilizarse para explotar diferentes tipos de vulnerabilidades. En cuanto al malware observado en entornos OT, los tipos más comunes fueron los RAT (troyanos de acceso remoto) con 3.392 alertas de detección.
Según SecurityScorecard, el 37 % de las empresas de fabricación crítica sufrieron infecciones de malware en 2022, en comparación con 2021. «La fabricación crítica se destaca como un sector que aún tiene un largo camino por recorrer para lograr la resiliencia cibernética», dijo das Company. «Según la definición de CISA, la fabricación crítica incluye la fabricación de metales primarios, la fabricación de maquinaria, la fabricación de equipos eléctricos, la fabricación de electrodomésticos y componentes, y la fabricación de equipos de transporte».
Derechos de autor © 2023 IDG Communications, Inc.