נחשפו 14 פגיעויות חדשות בספריית תוכנה לתחום הטכנולוגיה התפעולית

מעבדות המחקר של פורסקאוט ו-JFrog חשפו באחרונה קבוצה של 14 פגיעויות יום אפס חדשות בספריית התוכנה NicheStack TCP/IP Stack.

קבוצת חולשות אלה זכתה לשם INFRA:HALT. החולשות החדשות עלולות לאפשר לתוקפים הפעלת קוד מרחוק – RCE, מניעת שירות – DoS, הזלגת מידע, הרעלת מטמון DNS – ובאנגלית DNS cache poisoning, וכן התקפות TCP נוספות. שתיים מהפגיעויות מסווגות ברמת סיכון קריטית, 10 ברמת סיכון גבוהה ושתיים נוספות – ברמה בינונית. התקיפה, הקלה יחסית למימוש על ידי תוקפים, עלולה לגרום לשיבושים שונים בתהליך הייצור וכתוצאה מכך לנזק ממשי בשטח: זיהום, השבתת ציוד ועוד. זאת, נוסף לתרחישים של פגיעה ברשת המנהלית, באמצעות דלף מידע, השבתה, הצפנה ומחיקה.

החולשות נמצאות, בין השאר, בבקרים של סימנס ובציוד תפעולי נוסף של חברות מוכרות. החוקרים מעריכים שמיליוני מתקנים בעולם מכילים ציוד שעושה שימוש ברכיב התוכנה הפגיע. מתקנים מסוג זה שולטים על תהליכי ייצור שונים כגון הפעלת משאבות, בקרת חום וקור ושליטה על פס ייצור. ממערך הסייבר הלאומי נמסר היום (ד') כי "ללא נקיטת צעדי מנע מתאימים, ארגונים וחברות, בעיקר מתחומי האנרגיה, התעשייה, הייצור והקמעונאות, חשופים לפגיעת סייבר פוטנציאלית".

ספריית תוכנה פופולרית בעולמות ה-OT

NicheStack TCP/IP Stack נמצאת בשימוש נרחב בעולמות הטכנולוגיה התפעולית – OT, ומכאן במגזרים רגישים במיוחד, כגון סביבת התשתיות הקריטיות. בפורסקאוט מעריכים שיצרני OT גדולים ורבים חשופים לפגיעויות אלה.

על פי החוקרים, "החולשות הללו עלולות להוביל לסיכון רשתי גבוה ולחשיפה של תשתיות בתחום האנרגיה והתעשייה. זאת, ברקע התקופה, שבה מתרחשות בעולם התקפות נרחבות על מערכות OT המוטמעות בתשתיות גלובליות, צנרת גז ונפט ושרשראות אספקה בשירותי הבריאות".

"החולשות", ציינו בפורסקאוט, "מהוות דוגמה נוספת לבעיות הקיימות בספריות TCP/IP, שאותן הצפנו במסגרת פרויקט Memoria". הספרייה האמורה פותחה על ידי אינטרניש, ש-HCC Embedded רכשה ב-2016. בשני העשורים האחרונים, ספרייה זו הופצה על ידי OEM בגרסאות שונות, לטובת שימוש בכמה מערכות הפעלה בזמן אמת (RTOS) או מערכת שכזו, בשם NicheTask, של אינטרניש עצמה. התעשייה שעלולה להיות הנפגעת ביותר היא תעשיית הייצור התהליכי, מעריכים החוקרים, ולאחריה – תעשיית הקמעונאות וייצור הרכיבים.

ההמלצה: למזער נזקים

בפורסקאוט ממליצים על אסטרטגיית מזעור נזקים: גילוי ויצירת מצאי של כל המכשירים שמריצים NicheStack; אכיפה של בקרי סגמנטציה והיגיינה רשתית, כדי למזער את הסיכון הנובע ממכשירים פגיעים; הגבלת ערוצי תקשורת חיצוניים ובידוד מכשירים פגיעים באזורים אם לא ניתן לעדכן אותם, או עד אשר יעודכנו; ניטור עדכונים המפורסמים על ידי ספקי המכשירים הפגיעים, ובניית תוכנית עדכון עבור הנכסים הפגיעים; ניטור של כל תעבורת הרשת, כדי לזהות תקשורות זדוניות שמנסות לנצל חולשות מוכרות או פרצות יום אפס; וחסימת תעבורה חריגה, או לפחות התרעה על קיומה למפעילי הרשת.

פורסקאוט ו-JFrog פנו לכמה גופים, ביניהם מערך הסייבר הלאומי בישראל והמקבילים לו בארצות הברית ובגרמניה, והזהירו כי "עדיין יש ספקיות רבות שלא אישרו או דחו את היותן פגיעות". מהמערך נמסר כי "אנחנו קוראים לארגונים שעושים שימוש בציוד שכולל תוכנה זו לבצע פעילות מנע מיידית, ולספקים של מוצרים אלה להתריע בפני לקוחותיהם על הסיכון ולספק להם עדכוני אבטחה מתאימים".