Изследователи откриха 11 уязвимости в продукти на трима производители на индустриални клетъчни рутери, които атакуващите могат да използват чрез различни вектори, заобикаляйки всички нива на сигурност.

Изследователи установиха, че единадесет уязвимости в платформите за управление в облак на трима производители на индустриални клетъчни маршрутизатори излагат мрежите на операционните технологии (OT) на риск от дистанционно изпълнение на код, дори ако платформата не е активно конфигурирана за управление в облак.
Уязвимостите са толкова сериозни, че въпреки че засягат устройства само на трима доставчици – Sierra Wireless AirLink, Teltonika Networks RUT и InHand Networks InRouter – те могат да повлияят на хиляди устройства и мрежи на индустриалния интернет на нещата (IIoT) в различни сектори, предупреждават Еран Якоб, ръководител на изследователски екип по сигурността, и Рони Гаврилов, изследовател по сигурността, от Otorio.

„Пробивът в тези устройства може да заобиколи всички слоеве за сигурност в обичайните внедрявания, тъй като IIoT устройствата обикновено са свързани както с интернет, така и с вътрешната OT мрежа“, казват изследователите пред Dark Reading. „То също така поражда допълнителен риск за разпространение до допълнителни обекти чрез вградената VPN мрежа“.

Ако атакуващите постигнат директна свързаност с вътрешната OT среда, това също може да доведе до въздействие върху производството и рискове за безопасността на потребителите във физическата среда, добавят изследователите.

Освен това нападателите разполагат с редица вектори, от които могат да се възползват от уязвимостите, включително чрез получаване на root достъп чрез reverse-shell; компрометиране на устройства в производствената мрежа, за да се улесни неоторизираният достъп и контрол с root привилегии; и компрометиране на устройства, за да се ексфилтрира чувствителна информация и да се извършат операции като изключване, заявиха изследователите.

Гаврилов сподели ключови констатации и съвети за отстраняване на недостатъците на Black Hat Asia 2023 миналата седмица, а компанията публикува и доклад, който сподели с Dark Reading. Всички уязвимости са били отговорно разкрити в координация с доставчиците и CISA и са били смекчени от доставчиците, според Otorio.

Къде се крият проблемите

Индустриалният клетъчен рутер позволява на множество устройства да се свързват към интернет от клетъчна мрежа. Тези маршрутизатори обикновено се използват в промишлени условия, като например в производствени предприятия или нефтени платформи, където традиционните кабелни интернет връзки може да не са достъпни или надеждни, казват изследователите.

„Индустриалните клетъчни маршрутизатори и шлюзове се превърнаха в един от най-разпространените компоненти в пейзажа на IIoT“, пише Гаврилов в доклада. „Те предлагат широки функции за свързване и могат да бъдат безпроблемно интегрирани в съществуващи среди и решения с минимални модификации.“

Доставчиците на тези устройства използват облачни платформи, за да осигурят на клиентите дистанционно управление, мащабируемост, анализ и сигурност в техните OT мрежи. По-конкретно, изследователите са открили различни уязвимости, които „се отнасят до връзката между IIoT устройствата и базираните на облака платформи за управление“, която при някои устройства е активирана по подразбиране, обясняват изследователите пред Dark Reading.

„Тези уязвимости могат да бъдат експлоатирани в различни сценарии, засягайки устройства, които са както регистрирани, така и нерегистрирани с платформи за отдалечено управление“, казват те. „По същество това означава, че в настройките по подразбиране на свързаността на някои устройства с базирани в облака платформи за управление има слабости в сигурността и тези слабости могат да бъдат насочени от нападателите.“

Според доклада типичната свързаност с тези платформи разчита на протоколи от типа „машина-машина“ (M2M) като MQTT за комуникация между устройствата и облака заедно с уеб интерфейси за управление на потребителите. MQTT работи по модела „публикувай-отпиши“, при който брокерът управлява теми, а устройствата могат да се абонират за получаване на публикувана информация. Обикновено се използва и специализиран API на устройството за инициализиране на комуникацията с облачната платформа, заедно с потребителски API и уеб интерфейс за управление на устройствата.

Вектори на атака

Изследователите идентифицираха критични проблеми, които могат да бъдат използвани от различни вектори на атаки в три ключови области на тази свързаност: процеса на регистрация на активите, конфигурациите за сигурност и външните API и уеб интерфейси, заявиха те.

„Атакуващите могат да се насочат към конкретни съоръжения, като използват източници като WiGLE и уязвимости за изтичане на информация (като [тези], открити в устройствата InHand), или да извършат широка атака на хиляди устройства, целяща по-широко въздействие или достъп“, казват изследователите пред Dark Reading.

Освен това използването на уязвимостите може да позволи на нападателите да се намесят в оперативните процеси, излагайки на риск безопасността на работещите в средата, казват те.

Един от векторите на атака, който може да бъде много ценен особено за групите, занимаващи се с рансъмуер – които увеличават атаките срещу индустриални мрежи – е да се достигне до обекти извън първоначалната точка на достъп, които са изложени на риск поради вградената VPN свързаност на устройствата, казват изследователите. Това може да позволи разпространението на атаката в по-широката мрежа, до контролни центрове и SCADA (Supervisory Control and Data Acquisition) сървъри, казват те.

Стратегии за смекчаване

Изследователите очертаха редица стратегии за смекчаване на последиците както за мрежовите администратори, така и за доставчиците на тези устройства. Администраторите на OT мрежи трябва да деактивират всяка неизползвана функция на облака, ако не използват активно маршрутизатора за управление на облака, за да предотвратят превземането на устройството и да намалят повърхността на атаката, съветват изследователите.

Те също така трябва да регистрират устройствата под собствените си акаунти в облачната платформа, преди да ги свържат към интернет. По този начин се установява собственост и контрол и се предотвратява неоторизиран достъп, казват изследователите.

Освен това администраторите могат да ограничат директния достъп от IIoT устройствата до маршрутизаторите, тъй като вградените функции за сигурност като VPN тунели и защитни стени са неефективни, след като бъдат компрометирани, казаха изследователите.

„Добавянето на отделни защитни стени и VPN слоеве може да подпомогне разграничаването и намаляването на рисковете от изложени на риск IIoT устройства, използвани за отдалечена свързаност“, пише Гаврилов в доклада.

От своя страна доставчиците могат да избегнат вграждането на уязвимости в своите устройства, като избягват използването на слаби идентификатори и използват допълнителен „таен“ идентификатор по време на регистрацията на устройството и установяването на връзка, съветват изследователите. Те също така трябва да наложат първоначална настройка на идентификаторите, така че мрежовите оператори да избягват използването на идентификатори по подразбиране и по този начин да въвеждат рискове за сигурността веднага в мрежата. Освен това изискванията за сигурност на IIoT са уникални и следва да се разглеждат отделно от отпечатъка на IoT, тъй като двете не са равностойни, предупреждават изследователите.

„Това може да включва намаляване на „високорисковите“ функции при поискване и добавяне на допълнителни слоеве за удостоверяване, криптиране, контрол на достъпа и мониторинг“, пише Гаврилов.