Nhiều thiết bị hạ tầng thiết yếu có chứng chỉ bảo mật nhưng vẫn tồn tại nhiều lỗ hổng

Theo các nhà nghiên cứu bảo mật, một số thiết bị được sử dụng trong hạ tầng thiết yếu có rất nhiều lỗ hổng có thể dẫn đến tấn công từ chối dịch vụ, cho phép chỉnh sửa cấu hình và thực thi mã từ xa.

Hầu hết các sản phẩm công nghệ vận hành (OT) này bao gồm hệ thống điều khiển công nghiệp và các thiết bị liên quan đều được khẳng định có chứng chỉ bảo mật, dù trong thực tế một số không có.

Trong một bài nghiên cứu có tiêu đề "Thiếu bảo mật do thiết kế phần lõi của hạ tầng thiết yếu", Jos Wetzels và Daniel dos Santos, các nhà nghiên cứu bảo mật tại Forescout và Mohammad Ghafari, giáo sư về hệ thống công nghệ thông tin an toàn tại Đại học kỹ thuật Clausthal (Đức), đã xác định 53 lỗ hổng bảo mật với nhiều mức độ nghiêm trọng khác nhau trong các sản phẩm của các nhà sản xuất công nghệ công nghiệp.

Các lỗ hổng phát sinh từ lỗi thiết kế bảo mật cơ bản, một số có thể dẫn đến những hậu quả nghiêm trọng.

Các nhà nghiên cứu đã xem xét 45 dòng sản phẩm OT được sử dụng trong chính phủ, trong y tế, dầu khí, điện lực, sản xuất, bán lẻ và những lĩnh vực khác từ mười nhà cung cấp lớn khác nhau. Áp dụng kỹ thuật dịch ngược, họ đã xác định những lỗ hổng trong các sản phẩm này như sử dụng giao thức không được xác thực và sử dụng phương pháp mã hóa yếu.

Những nhà cung cấp sản phẩm bao gồm: Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens, Yokogawa, and Schneider Electric.

Các nhà nghiên cứu cho biết, mọi sản phẩm đều có ít nhất một lỗ hổng và đã báo cáo tổng cộng 53 lỗ hổng, từ tấn công từ chối dịch vụ và thao túng cấu hình đến thực thi mã từ xa. 21 lỗ hổng trong số đó có thể tạo điều kiện lộ thông tin xác thực tài khoản. 18 lỗ hổng khác liên quan đến thao tác dữ liệu, 13 lỗ hổng cho phép thao túng firmware và 10 lỗ hổng đã cho phép thực thi mã từ xa.

Các nhà nghiêm cứu cũng chỉ ra, chỉ 51% trong số những thiết bị được kiểm tra có xác thực cập nhật firmware, trong đó có một số trường hợp thông tin xác thực được gắn cứng trong mã nguồn.

Các nhà nghiên cứu giải thích rằng 84% các thành phần phần mềm liên quan được viết bằng C++, ngôn ngữ lập trình vốn thường tẻ nhạt và phức tạp hơn so với C hoặc .NET, đồng thời cho biết thêm rằng phần firmware dựa trên sự kết hợp của C hoặc C++ thường không mã hóa mà sử dụng các định dạng tệp độc quyền.

Kiến trúc phần cứng bao gồm: Arm (31%), x86 (26%), PowerPC (24%), SuperH (12%) và các loại khác (7%). Kiến trúc firmware bao gồm: VxWorks (22%), QNX (14%), Linux (13%), WinCE (9%), OS-9 (4%), ITRON/TKERNEL (4%), cùng với 11% sử dụng hệ điều hành tùy chỉnh và 23% sử dụng các hệ điều hành khác.

Ý đứng đầu danh sách về số lượng thiết bị bị lộ (1.255), sau đó là Đức (440), Tây Ban Nha (393), Pháp (376), Thụy Sĩ (263) và Mỹ (178).

Các nhà nghiên cứu cho biết, thật đáng lo, nhiều sản phẩm trong số này đã được chứng chỉ bảo mật nhưng vẫn có các lỗ hổng mà lẽ ra đã phải được phát hiện trong quá trình chứng nhận. Đồng thời liệt kê các sản phẩm tuy được dán nhãn IEC 62443 nhưng lại không tuân thủ. Điều này cho thấy rằng ngoài những gì các tiêu chuẩn có thể không đề cập đến, ngay cả những tiêu chuẩn được đưa ra cũng không phải lúc nào cũng được đạt được đúng mức trong thực tế.

Chính phủ Mỹ đã viện dẫn sự cần thiết của việc bảo vệ hạ tầng thiết yếu như một phần của Chiến lược An ninh mạng Quốc gia được công bố gần đây. Mục tiêu đó rõ ràng vẫn là một công việc đang được tiến hành.

Mặc dù đã có một thập kỷ nỗ lực cải thiện bảo mật OT, nhưng cơ sở cài đặt OT vẫn gặp phải các vấn đề bảo mật do thiết kế ngay cả đối với các sản phẩm có chứng chỉ bảo mật.