Las vulnerabilidades del software IIoT impulsan los ataques a la infraestructura crítica:nuevamente

En agosto de 2021, Forescout Research Labs y JFrog Security Research identificaron 14 vulnerabilidades que afectan a la pila NicheStack TCP / IP, que las organizaciones denominaron INFRA:HALT.

Las pilas de TCP / IP permiten a los proveedores implementar comunicaciones de red básicas para sistemas conectados a IP, incluidos los dispositivos de TI, tecnología operativa (OT) y Internet de las cosas industrial (IoT).

De hecho, NicheStack está presente en innumerables dispositivos OT que se utilizan comúnmente en varios sectores de infraestructura crítica, como plantas de fabricación, tratamiento de agua, generación de energía y más.

Las nuevas vulnerabilidades permiten la ejecución remota de código, la denegación de servicio, la fuga de información, la suplantación de TCP o el envenenamiento de la caché de DNS.

Los ataques a la infraestructura crítica revelan puntos débiles de ICS

Las vulnerabilidades descubiertas ilustran el riesgo para los sistemas de infraestructura crítica en caso de que se vean comprometidos por actores malintencionados. Estos sistemas están envejeciendo y son vulnerables, dijeron los expertos.

"Es ... un ejemplo lamentable de la enorme vulnerabilidad de una infraestructura envejecida que se ha conectado, directa o indirectamente, a Internet", dijo Curtis Simpson, CISO de Armis en un artículo reciente sobre el aumento de los ataques a la infraestructura crítica.

Brian Kim, de Forrester Research, dijo que las organizaciones de infraestructura crítica deben enfocarse en identificar dispositivos OT vulnerables dentro de su patrimonio, luego enfocarse en construir una estrategia de confianza cero, utilizando el mínimo de privilegios y segmentación de red para evitar que los actores malintencionados obtengan acceso a sistemas críticos.

“Una de las mejores formas en que podemos reducir el impacto de una infracción es una estrategia de confianza cero al limitar las comunicaciones de estos ICS [sistemas de control industrial]”, dijo Kime. “Podemos crear una lista de permitidos que solo permita comunicaciones con sistemas de control que ejecutan un proceso, permitiendo el mínimo privilegio para las conexiones de red ... es una práctica recomendada. E idealmente, deberíamos tener una barrera entre TI y OT y segmentar cada instalación para tener su propia red.

Los equipos de investigación de JFrog y Forescout presentarán un seminario web el 19 de agosto para proporcionar información adicional sobre cómo se identificaron estas vulnerabilidades y cómo se pueden mitigar.

Aumentan los ataques a infraestructuras críticas

El año pasado, hubo unos 65.000 ataques de ransomware, según Recorded Future, una empresa de ciberseguridad con sede en Boston.

Los ciberataques a la infraestructura crítica presentan ciertos beneficios desde la perspectiva de los atacantes, incluso si el objetivo de los atacantes no es un pago.

Primero, los atacantes malintencionados pueden obtener acceso a estos dispositivos vulnerables con facilidad, ya que los dispositivos OT pueden ser más antiguos y carecer de los protocolos de seguridad de las tecnologías más nuevas. En segundo lugar, una vez que las operaciones críticas se ven afectadas, puede detener las operaciones. Las organizaciones afectadas tienen un gran incentivo para pagar las demandas de ransomware solo para reanudar las operaciones.

"La naturaleza de estas vulnerabilidades podría conducir a un mayor riesgo y exponer la infraestructura crítica nacional en un momento en que la industria está experimentando un aumento en los ataques de OT contra las empresas de servicios públicos globales, los operadores de oleoductos y gasoductos, así como la atención médica y la cadena de suministro", escribió Forescout. Research Labs en un anuncio sobre las vulnerabilidades.

En tercer lugar, el acceso a los dispositivos OT siempre puede proporcionar acceso a otros sistemas dentro de las organizaciones.

“Una vez que se accede, la pila se convierte en un punto de entrada vulnerable para propagar malware infeccioso a través de las redes de TI”, continuaron los investigadores.

Kime señaló que ataques como el reciente en Colonial Pipeline revelaron que los sistemas de infraestructura crítica están interconectados, creando la oportunidad de efectos dominó dentro de estos sistemas, y luego a través de la cadena a los sistemas de TI también.

“Un evento como Colonial Pipeline ha revelado que estos son más sistemas de sistemas en lugar de sectores independientes y aislados que operan dentro de su propio pequeño mundo”, dijo Kime.

En última instancia, señaló Kime, los operadores de infraestructura crítica deben cambiar su perspectiva para permitir una protección más completa de la infraestructura crítica que administran.

“Debe haber un fuerte enfoque entre la infraestructura crítica no solo en la seguridad sino también en la resiliencia”, dijo.