Flera kritiska sårbarheter påverkar industriella styrsystem

Den 4 augusti informerade Myndigheten för samhällsskydd och beredskap, MSB, via cert.se om nya sårbarheter för industriella styrsystem (PLC:er) och annan kritisk operativ teknik. 14 nya sårbarheter med samlingsnamnet INFRA:HALT hittades, som påverkar TCP/IP-stacken NicheStack. De nya sårbarheterna möjliggör bland annat fjärrstyrning av kod, nekande av tjänst och informationsläckage.

Flera leverantörer i riskzonen – använd begränsningsstrategi

NicheStack används i OT-enheter (Operational Technology) som finns i flera kritiska sektorer. De uppskattar att stora OT-leverantörer påverkas av dessa sårbarheter runt om i världen och i Sverige. Påverkade leverantörer som nämns är exempelvis Siemens S7. Även andra leverantörer som Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation och Schneider Electric nämns som kunder till Interniche. Det finns en risk att stora delar av tillverkningsindustrin påverkas. Enligt forskargruppen som identifierat sårbarheterna kan närmare 200 tillverkningsföretag vara påverkade.

CERT-SE:s rekommendation i nuläget är alltså att vara uppmärksam på om de utpekade produkterna används i företagets IT-miljö. Om så är fallet, se då till att de migrerande åtgärderna efterföljs så snart som det är möjligt. Med tanke på att det är svårt att korrigera OT-enheter på grund av deras verksamhetskritiska karaktär, rekommenderas följande begränsningsstrategi:

• Upptäck och inventera enheter som kör NicheStack. Forescout Research Labs har släppt ett skript med öppen källkod som använder aktivt fingeravtryck för att upptäcka enheter som kör NicheStack. Skriptet uppdateras ständigt med nya signaturer för att följa den senaste utvecklingen av forskningen. Forescout har också släppt en uppdaterad säkerhetspolicymall (SPT) för eyeSight för att upptäcka enheter som kör stapeln (mer information nedan).
• Tillämpa segmenteringskontroller och nätverkshygien för att minska risken från sårbara enheter. Begränsa externa kommunikationsvägar och isolera sårbara enheter i zoner tills de kan bli patchade.
• Övervaka progressiva patchar som släppts av berörda enhetsleverantörer och utforma en saneringsplan för dina sårbara tillgångar som balanserar affärsrisk och kontinuitetskrav.
• Övervaka all nätverkstrafik för skadlig kod som försöker utnyttja nu kända sårbarheter eller möjliga 0-dagar. Avvikande trafik bör blockeras, eller åtminstone varnas för till nätoperatörer. Forescout har släppt ett manus för eyeInspect som upptäcker exploateringsförsök mot sårbarheterna i INFRA:HALT.

Vidare rekommendationer från Energiföretagen – rapportera!

Mer information går att få från Forescout. Forescout Research Labs och JFrog Security Research har åtagit sig att stödja leverantörer med öppen källkod för att identifiera drabbade produkter. Alla versioner av NicheStack före version 4.3 (den senaste vid tidpunkten inom forskningen), inklusive NicheLite, påverkas. De patchar som släpps av HCC Embedded är tillgängliga på begäran.

– Energiföretagen vill uppmana till att kontinuerligt följa omvärldsbevakningen av sårbarheter i IT-och OT-miljön, samt cyberangrepp. Följ till exempel CERT-SE:s webbplats och vidta kontinuerligt rekommenderade säkerhetsåtgärder vid behov. Vi kan stödja energiföretag i detta arbete genom Energiföretagens säkerhetsgrupp (ESG) och rådgivning, säger säkerhetsexpert Emma Johansson hos Energiföretagen och tillägger:

– CERT-SE vill ha återkoppling om hur utbredd problematiken är i de olika sektorerna, så har ni info får ni gärna kontakta dem direkt.