Se espera que un mayor escrutinio de productos para sistemas de control industrial exponga aún más debilidades en los dispositivos que ejecutan infraestructura crítica.
Comenzó en enero con un concurso de piratería de sistemas de control industrial (ICS) en Miami en medio de un frente frío repentino que literalmente paralizó y derribó a parte de la población de iguanas que se aferran a los árboles de la ciudad. Dentro de una habitación adyacente al vestíbulo del histórico teatro Fillmore de South Beach y a salvo de los elementos (y lagartos que caen), los investigadores de seguridad piratearon puertas de enlace SCADA, servidores de control, interfaces hombre-máquina (HMI), una estación de trabajo de ingeniería y otro software ICS en el primer concurso ICS Pwn2Own.
El hecho de que las 25 entradas de productos de ICS fueran pirateadas con éxito no fue una gran sorpresa, ya que muchos ICS, especialmente los productos de proveedores recién llegados, carecen notoriamente de características de seguridad y contienen software inseguro. El evento, dirigido por Zero-Day Initiative (ZDI) de Trend Micro como parte de la conferencia anual S4x20 ICS, se esperaba que abriera las compuertas para un mayor escrutinio de los investigadores sobre los productos ICS, y los nuevos datos publicados hoy muestran que eso es exactamente lo que siguió.
En la primera mitad de 2020, hubo un 10.3% más de vulnerabilidades de ICS reportadas en la Base de Datos Nacional de Vulnerabilidades (NVD) y un aumento del 32.4% de los avisos de ICS-CERT para vulns en comparación con el año anterior. Más del 75% de las fallas de ICS reportadas este año fueron calificadas como altas o críticas, según para informar de la firma de seguridad ICS Claroty. Más del 70% de las fallas de ICS reportadas en la primera mitad de 2020 son explotables de forma remota, 365 fallas de ICS aterrizaron en el NVD y 139 avisos llegaron a través de ICS-CERT, según muestran los datos.
Esto es solo la punta del iceberg ahora que más investigadores están entrenando sus habilidades de piratería en productos ICS a raíz del concurso de enero, mientras que más nuevos proveedores de ICS están ingresando al mercado, según Amir Preminger, vicepresidente de investigación de Claroty. quien también compitió en el ICS Pwn2Own. El concurso otorgó un total de $ 280,000 en premios a los equipos ganadores.
Preminger espera que se den a conocer públicamente muchas más vulnerabilidades de ICS antes de fin de año.
"Vamos a presenciar un aumento mayor a medida que avancemos debido a COVID", dice, lo que deja a los sistemas de infraestructura crítica en mayor riesgo de ataque dada la mayor dependencia de esos sistemas a medida que más personas se quedan en casa y trabajan desde casa durante la pandemia. . La atención también se ha centrado en ayudar a las organizaciones de TO a proteger mejor sus sistemas de infraestructura crítica, con la reciente asesoramiento conjunto del CISA del Departamento de Seguridad Nacional de los Estados Unidos y la Agencia de Seguridad Nacional, así como una orden ejecutiva emitida por la Casa Blanca a principios de este año, señala.
Busque más vulnerabilidades y correcciones en la segunda mitad, dice Preminger.
Las fallas de ICS expuestas este año se encontraron en productos utilizados en infraestructura crítica: el informe muestra que de las 385 fallas incluidas en el aviso de seguridad, 236 afectan el sector energético, 197 afectan la fabricación crítica y 171 afectan el agua y las aguas residuales. Eso es un aumento del 58.9% para la energía, el 87.3% para la fabricación crítica y el 122% para el agua y las aguas residuales durante el mismo período en 2019.
“Cuando ve tantas [fallas] de ejecución de control remoto, eso en realidad se correlaciona con el hecho de que tiene muchos nuevos [proveedores]”, dice Preminger. Algunos de estos proveedores no tienen un programa de ciclo de vida de desarrollo seguro y “algunos de estos productos nunca se someten a ninguna revisión de seguridad antes de su lanzamiento”, agrega.
Dale Peterson, director ejecutivo de Digital Bond y director de la conferencia S4, también señala que los datos del informe de Claroty reflejan principalmente los esfuerzos intensificados de los investigadores para encontrar fallas en los sistemas ICS.
“No refleja el riesgo para la comunidad de ICS, no refleja que las cosas están siendo más o menos vulnerables”, dice. "No cambia el perfil de riesgo o lo que hacen los propietarios de activos".
La forma en que un producto se remedia por una falla de seguridad depende de si arreglarlo rompería una función o interrumpiría un proceso industrial.
“Hay casos en los que las vulnerabilidades están en alguna parte aislada de la aplicación y la cambias [arreglas] y no afectan nada”, explica Peterson. "Hay otros problemas enterrados profundamente, de modo que si hace ese cambio, un montón de cosas no van a funcionar, por lo que no puede simplemente lanzar un parche sin romper el sistema".
Un investigador puede tardar entre un mes y tres meses en lograr la ejecución remota de código aprovechando una vulnerabilidad ICS, dice Preminger. “No es un 'si' sino un 'cuándo'” que un atacante haga lo mismo, señala.
"El mayor riesgo de COVID es ... lo que vimos en las vulnerabilidades de acceso remoto en los productos ICS", dice.
Para las organizaciones industriales, se trata de conocer los agujeros de seguridad de sus ICS y asegurarse de que estén instalados de forma segura en la red y no expuestos inadvertidamente a la Internet pública.
“Desafortunadamente, todavía se ven muchos de ellos conectados directamente a Internet”, dice Preminger. “Algunos de ellos son viejos y simplemente lo dejan en Internet, y otros son nuevos y no deberían estar conectados, incluso si ese dispositivo no tiene un CVE. Los atacantes podrían usarlo para una botnet ”o como una forma de ingresar a la red.
El parcheo no siempre es la solución para las organizaciones de OT, por supuesto, por lo que se trata de trazar el riesgo de la red.
"Estamos tratando de asesorar a los clientes sobre cómo construir mejor sus redes en términos de segmentación o capas", dice Preminger. “Aprovechando estos datos [vuln], pueden diseñar mejor lo que tienen por adelantado o [determinar] dónde aumentar su capa de seguridad contra otras vulnerabilidades. Pueden priorizar mejor ".
De los 365 ICS vulns reportados en la primera mitad de 2020, 26 fueron descubiertos por Claroty, y más de la mitad de esos defectos se pueden explotar de forma remota.
Kelly Jackson Higgins es la editora ejecutiva de Dark Reading. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Network Computing, Secure Enterprise ... Ver Biografía completa
Lecturas recomendadas:
Más Información
