IIoTソフトウェアの脆弱性が重大なインフラストラクチャ攻撃を助長—再び

2021年8月、Forescout ResearchLabsとJFrogSecurityResearchが特定組織がINFRA：HALTと名付けたNicheStack TCP / IPスタックに影響を与える14の脆弱性。

TCP / IPスタックにより、ベンダーは、IT、オペレーショナルテクノロジー（OT）、産業用モノのインターネット（IoT）デバイスなど、IP接続システムの基本的なネットワーク通信を実装できます。

実際、NicheStackは、製造工場、水処理、発電など、いくつかの重要なインフラストラクチャセクターで一般的に使用されている無数のOTデバイスに存在します。

新しい脆弱性により、リモートコード実行、サービス拒否、情報漏えい、TCPスプーフィング、またはDNSキャッシュポイズニングが可能になります。

重要なインフラストラクチャ攻撃によりICSの弱点が明らかになる

発見された脆弱性は、悪意のある攻撃者によって危険にさらされた場合の重要なインフラストラクチャシステムへのリスクを明らかにします。専門家によると、これらのシステムは古く、脆弱です。

「これは…インターネットに直接または間接的に接続された老朽化したインフラストラクチャの巨大な脆弱性の不幸な例です」とArmisのCISOであるCurtisSimpsonは、重要なインフラストラクチャへの攻撃の増加に関する最近の記事で述べています。

>

ForresterResearchのBrianKimは、重要なインフラストラクチャ組織は、自社の不動産内の脆弱なOTデバイスの特定に焦点を当て、次に、最小限の特権とネットワークセグメンテーションを使用して、悪意のある攻撃者が重要なシステムにアクセスするのを防ぐ、ゼロトラスト戦略の構築に焦点を当てる必要があると述べました。

「違反の影響を減らすための最善の方法の1つは、これらのICS [産業用制御システム]の通信を制限することにより、ゼロトラスト戦略です」とキメ氏は述べています。プロセスを実行する制御システム–ネットワーク接続に最小限の特権を許可する…がベストプラクティスです。そして理想的には、ITとOTの間に障壁を設け、各施設をセグメント化して独自のネットワークを構築する必要があります。

JFrogとForescoutの調査チームは、8月19日にウェビナーを開催し、これらの脆弱性がどのように特定され、どのように軽減できるかについての追加情報を提供します。

重要なインフラストラクチャ攻撃の増加

ボストンを拠点とするサイバーセキュリティ企業であるRecordedFutureによると、昨年は約65,000件のランサムウェア攻撃がありました。

重要なインフラストラクチャに対するサイバー攻撃は、攻撃者の目的が支払いではない場合でも、攻撃者の観点から特定の利点をもたらします。

まず、OTデバイスは古く、新しいテクノロジーのセキュリティプロトコルが不足している可能性があるため、悪意のある攻撃者はこれらの脆弱なデバイスに簡単にアクセスできます。次に、重要な操作が影響を受けると、操作を停止する可能性があります。影響を受ける組織には、運用を再開するだけでランサムウェアの要求を支払う大きなインセンティブがあります。

「これらの脆弱性の性質は、リスクを高め、業界が世界の公益事業、石油およびガスパイプライン事業者、ヘルスケア、サプライチェーンに対するOT攻撃の増加を目の当たりにしているときに、国家の重要なインフラストラクチャを公開する可能性があります」とForescoutは書いています。脆弱性に関する発表の研究所。

第三に、OTデバイスへのアクセスは、組織内の他のシステムへの入り口を常に提供できます。

「アクセスされると、スタックはITネットワーク全体に感染性マルウェアを拡散するための脆弱なエントリポイントになります」と研究者は続けました。

キメ氏は、コロニアルパイプラインに対する最近の攻撃のように、重要なインフラストラクチャシステムが相互接続されていることを明らかにし、これらのシステム内で、さらにはチェーン全体でITシステムに波及効果をもたらす機会を生み出していると述べました。

「コロニアルパイプラインのようなイベントは、これらが独自の小さな世界の中で動作する独立した孤立したセクターではなく、より多くのシステムシステムであることを明らかにしました」とキメは言いました。

最終的に、Kime氏は、重要なインフラストラクチャオペレーターは、管理する重要なインフラストラクチャをより徹底的に保護できるように、視点を変える必要があると述べました。

「重要なインフラストラクチャには、セキュリティだけでなく復元力にも重点を置く必要があります」と彼は言いました。