Бяха разкрити три уязвимости в сигурността на продукти за операционни технологии (OT) на Wago и Schneider Electric.

Според Forescout пропуските са част от по-широк набор от недостатъци, наречен OT:ICEFALL, който вече включва общо 61 проблема, обхващащи 13 различни доставчици.

„OT:ICEFALL показва необходимостта от по-строг контрол и подобрения на процесите, свързани със сигурното проектиране, пакетиране и тестване при доставчиците на OT устройства“, се казва в доклад на компанията, предоставен на The Hacker News.

Най-сериозният от недостатъците е CVE-2022-46680 (CVSS оценка: 8,8), който се отнася до предаването на пълномощни в обикновен текст в протокола ION/TCP, използван от електромерите на Schneider Electric.

Успешното използване на грешката може да позволи на заплахите да получат контрол над уязвимите устройства. Струва си да се отбележи, че CVE-2022-46680 е един от 56-те недостатъка, първоначално разкрити от Forescout през юни 2022 г.

Другите две нови дупки в сигурността (CVE-2023-1619 и CVE-2023-1620, CVSS оценки: 4,9) са свързани с грешки, свързани с отказ на услуга (DoS), засягащи контролери WAGO 750, които могат да бъдат активирани от автентифициран нападател чрез изпращане на специфични некоректни пакети или специфични заявки след излизане от системата.

В заключение на изследването OT:ICEFALL Forescout отбелязва, че доставчиците все още нямат фундаментално разбиране за практиките за сигурност при проектиране, пускат непълни кръпки и не прилагат подходящи процедури за тестване на сигурността.

„Това е обезпокоително, тъй като когато OT продуктите започнат да прилагат контроли за сигурност и в крайна сметка получат сертификат, възприемането на тяхната позиция по отношение на сигурността може да се промени и чувството за спешност около компенсиращите контроли може да спадне – което води до фалшиво чувство за сигурност“, заяви компанията.