Relatório revela 56 vulnerabilidades em dispositivos OT de 10 fornecedores 

Um novo relatório divulgado em junho revelou um conjunto de 56 vulnerabilidades que afetam dispositivos de 10 fornecedores de sistemas de Tecnologia Operacional (OT, no acrônimo em inglês). O estudo OT:ICEFALL é resultado da cooperação entre A Agência de Cibersegurança e Segurança de Infraestruturas (Cybersecurity and Infrastructure Security Agency – CISA) dos Estados Unidos  e o Vedere Labs da Forescout, dividiu as vulnerabilidades em quatro categorias principais: protocolos de engenharia inseguros, criptografia fraca ou esquemas quebrados de autenticação, falhas em atualizações de firmware e execução remota de código via funcionalidade nativa

 Uma tabela no site da Forescout mostra os dispositivos afetados. Os pesquisadores recomendam seguir os alertas de cada fornecedor para saber mais detalhes e os impactos específicos que podem ser causados pelas vulnerabilidades. Existem quatro problemas com um fornecedor que ainda em processo em divulgação; detalhes não foram liberados, mas essas vulnerabilidades já foram incluídas na análise quantitativa do relatório técnico.

Embora os impactos de cada vulnerabilidade dependam da funcionalidade relacionada, o estudo os enquadrou nas seguintes categorias:

• Execução remota de código (Remote Code Execution – RCE): Quando um invasor executa código arbitrário no dispositivo afetado, mas nem sempre significa controle total do equipamento. O controle geralmente é obtido por meio de falta de atualização de firmware.
• Negação de serviço (Denial of Service – DoS): Quando um invasor coloca o dispositivo completamente em estado off-line ou impede o acesso a alguma função.
• Manipulação de arquivos/firmware/configuração: Quando um invasor altera aspectos importantes do dispositivo, como arquivos armazenados, firmware em execução configurações específicas. Isso geralmente acontece por meio de funções críticas sem autenticação/autorização adequadas ou falta de verificação de integridade, o que impediria a adulteração  do equipamento, sem que fosse notada.
• Comprometimento de credenciais: Quando um invasor obtém credenciais para executar funções do dispositivo, geralmente porque são armazenadas ou transmitidas sem segurança.
• Desvio de autenticação (bypass): Quando um invasor consegue passar por cima das funções de autenticação existentes para alcançar a funcionalidade desejada no dispositivo.

Os pesquisadores afirmam que o objetivo do estudo OT:ICEFALL é apresentar uma visão geral quantitativa das vulnerabilidades encontradas em ambientes OT que, muitas vezes, são inseguros por design. Com esse panorama em mente, os responsáveis poderiam depender menos das listas de CVEs (Common Vulnerabilities and Exposures) para produtos isolados, por exemplo, geralmente ignoradas, e passar a investir em ações mais eficientes para monitorar e gerenciar as vulnerabilidades.

Algumas das principais descobertas desta pesquisa são:

• Vulnerabilidades resultantes de design inseguro são abundantes: Mais de um terço das vulnerabilidades encontradas (38%) facilitam o comprometimento de credenciais. A manipulação de firmware vem em segundo lugar (21%), seguida por execução remota de código (14%). Os principais exemplos de problemas causados por design inseguros podem ser encontrados em nove vulnerabilidades relacionadas a protocolos não autenticados, mas também em muitos esquemas de autenticação quebrados, o que demonstra controles de segurança de baixa qualidade.
• Produtos vulneráveis recebem certificação: 74% das famílias de produtos afetadas possuem alguma forma de certificação, sendo que a maioria dos problemas relatados foi descoberta com relativa rapidez. Os fatores que contribuem para esse problema são escopo limitado para avaliação, definição opaca de segurança e foco em testes funcionais.
• Gestão de riscos é complicado pela falta de CVEs: Para tomar decisões embasadas de gestão de riscos, os responsáveis precisariam saber de que forma esses componentes são inseguros. Questões de design inseguro nem sempre foram abordadas em CVEs, logo permaneceram pouco visíveis.
• Existem componentes inseguros por design em cadeias de suprimentos: Vulnerabilidades em componentes usados na cadeia de suprimentos OT tendem a não ser relatadas por todos os fabricantes afetados, o que dificulta a gestão de riscos.
• Nem todos os projetos inseguros são desenvolvidos da mesma forma: Foram investigados pelo estudo três rotas principais de RCE em dispositivos de nível 1 por meio de funcionalidades nativas: downloads de lógica, atualizações de firmware e operações de leitura/gravação de memória. Nenhum dos sistemas analisados usa assinatura de lógica, e a maioria (52%) compila sua lógica em código nativo de máquina. Além disso, 62% dos sistemas aceitam downloads de firmware via Ethernet, mas apenas 51% possuem autenticação dessa funcionalidade.
• Recursos ofensivos são mais fáceis de desenvolver do imaginamos: A engenharia reversa de um único protocolo proprietário levou entre 1 dia e 2 semanas, e 5 a 6 meses para sistemas complexos e multiprotocolos. Isso mostra que os sistemas de ataques a ambientes OT podem ser desenvolvidos por uma equipe pequena, ainda que qualificada, por um custo razoável.

OT:ICEFALL, dado nome ao estudo, faz referência à segunda parada na rota de escalada do Everest, depois do acampamento-base, e tem a ver com número crescente de vulnerabilidades nos ambientes OT. Segundo os pesquisadores, “temos uma montanha para escalar para proteger esses dispositivos e protocolos”.