Được gọi chung là OT:ICEFALL, 56 lỗ hổng này ảnh hưởng đến thiết bị của các nhà cung cấp OT như Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens và Yokogawa.
Cụ thể, các nhà phân tích đã sử dụng công cụ tìm kiếm Shodan quét Internet để tìm các hệ thống dễ bị tấn công và tìm thấy 6 hệ thống có nguy cơ hàng đầu sau:
• Honeywell Saia Burgess với 2.924 thiết bị trên khắp Ý, Đức, Thụy Sĩ, Thụy Điển và Pháp.
• Bộ điều khiển Omron - 1.305 thiết bị trên khắp các quốc gia Tây Ban Nha, Canada, Pháp, Mỹ và Hungary.
• Phoenix Contact DDI - 705 thiết bị tại Ý, Đức, Ấn Độ, Tây Ban Nha và Thổ Nhĩ Kỳ.
• ProConOS SOCOMM - 236 thiết bị tại các quốc gia Trung Quốc, Mỹ, Đức, Singapore và Hồng Kông.
• Honeywell Trend Controls với 162 thiết bị tại Pháp, Đan Mạch, Ý, Tây Ban Nha và Vương quốc Anh.
• Emerson Fanuc/PACSystems - 60 thiết bị trên khắp Hoa Kỳ, Canada, Ba Lan, Đài Loan và Tây Ban Nha.
Đáng chú ý, theo các nhà nghiên cứu 74% các họ sản phẩm dễ bị tấn công đã được chứng nhận về tính bảo mật của họ, điều này phản ánh rằng các quy trình này không đủ an toàn và toàn diện.
Khai thác các lỗ hổng này, những kẻ tấn công có quyền truy cập mạng vào thiết bị mục tiêu có thể thực thi mã từ xa, thay đổi logic, tệp hoặc firmware của thiết bị OT, vượt qua xác thực, xâm nhập thông tin xác thực, gây ra từ chối dịch vụ hoặc có nhiều tác động ảnh hưởng đến vận hành.
Những lỗ hổng này có thể gây ra hậu quả lớn khi các sản phẩm bị ảnh hưởng được sử dụng rộng rãi trong các ngành cơ sở hạ tầng quan trọng như dầu khí, hóa chất, hạt nhân, sản xuất và phân phối điện, sản xuất, xử lý và phân phối nước, khai thác mỏ và tự động hóa tòa nhà.
Các loại lỗ hổng Icefall. (Nguồn: Forescout)
Trong số 56 lỗ hổng được phát hiện, 38% cho phép xâm nhập thông tin xác thực, 21% cho phép sửa đổi firmware, 14% cho phép thực thi mã từ xa và 8% cho phép giả mạo thông tin cấu hình.
Bên cạnh khả năng cho phép kẻ tấn công thực thi mã tùy ý và thực hiện các sửa đổi trái phép đối với firmware, các lỗ hổng cũng có thể bị lợi dụng để ngắt kết nối mạng của một thiết bị và vượt qua các chức năng xác thực hiện có để gọi bất kỳ chức năng nào trên các mục tiêu.
Trong một kịch bản giả định, những lỗ hổng này có thể được vũ khí hóa nhắm mục tiêu vào các đường ống dẫn khí đốt tự nhiên, tuabin gió hoặc các dây chuyền lắp ráp sản xuất rời rạc để làm gián đoạn việc vận chuyển nhiên liệu, ghi đè cài đặt an toàn, ngăn chặn khả năng điều khiển các trạm máy nén và thay đổi hoạt động của bộ điều khiển logic khả trình (PLC).
Các chuyên gia cho biết, các mối đe dọa không chỉ là lý thuyết. Trên thực tế, một lỗ hổng thực thi mã từ xa ảnh hưởng đến bộ điều khiển Omron NJ/NX (CVE-2022-31206) đã bị khai thác để phát triển một phần mềm độc hại phức tạp có tên PIPEDREAM (hay còn gọi là INCONTROLLER).
Sự kết nối ngày càng tăng giữa các mạng CNTT và OT, cùng với bản chất không rõ ràng và độc quyền của nhiều hệ thống OT, chưa kể đến việc không có CVE, khiến các vấn đề gần như trở nên vô hình và các tính năng không an toàn, như về thiết kế vẫn tiếp tục được giữ lại.
Để giảm thiểu các lỗ hổng OT:ICEFALL, các chuyên gia khuyến nghị người dùng nên kiểm tra các thiết bị có trong danh mục tồn tại lỗ hổng, áp dụng các bản vá dành riêng cho nhà cung cấp, thực thi phân đoạn nội dung OT, theo dõi lưu lượng mạng để tìm hoạt động bất thường và thay thế các sản phẩm dễ bị tấn công bằng các thiết bị "an toàn theo thiết kế" để củng cố chuỗi cung ứng./.
