НАЗАД К НОВОСТЯМ
CERT рекомендации

Festo ICS: Недокументированные риски удалённого доступа в прошивках промышленных систем

3 мин чтенияИсточник: CISA Cybersecurity Advisories

CISA предупреждает о неполной документации удалённых функций и портов в продуктах Festo ICS, что увеличивает уязвимость OT-систем. Рекомендации по защите.

Продукты Festo ICS содержат пробелы в документации удалённого доступа

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало рекомендации (ICSA-26-015-02), в которых отмечается неполная документация функций с удалённым доступом и необходимых IP-портов в продуктах компании Festo для промышленных систем управления (ICS). Рекомендации, выпущенные в рамках постоянных усилий CISA по защите технологических сред (OT), подчёркивают критический пробел в документации, который может подвергать организации ненужным рискам безопасности.

Технические детали

В рекомендациях указано, что документация продуктов Festo не содержит полного описания всех функций с удалённым доступом или IP-портов, необходимых для их работы. Хотя в некоторых руководствах пользователя приведены частичные описания поддерживаемых функций, отсутствие исчерпывающей документации может оставлять команды безопасности в неведении относительно потенциальных векторов атак. Проблема затрагивает несколько устройств Festo, включая недавно добавленный в обновлении от 13 декабря 2022 года модуль «Bus module».

Сопроводительный документ CSAF (Common Security Advisory Framework) содержит дополнительные сведения, однако на данный момент в нём отсутствуют конкретные идентификаторы CVE или технические меры по снижению рисков. Специалистам по безопасности рекомендуется изучить файл CSAF для получения подробной информации о затронутых продуктах и конфигурациях.

Анализ последствий

Неполная документация создаёт несколько рисков для организаций, использующих продукты Festo ICS:

  • Расширение поверхности атаки: Недокументированные функции удалённого доступа или открытые порты могут быть использованы злоумышленниками для несанкционированного проникновения в промышленные сети.
  • Проблемы с соответствием требованиям: Недостаточная документация может затруднить соблюдение отраслевых стандартов, таких как IEC 62443, NIST SP 800-82 или NERC CIP, которые требуют тщательного управления активами и доступом.
  • Слепые зоны в эксплуатации: Команды безопасности могут не иметь полной видимости легитимных каналов удалённого доступа, что усложняет реагирование на инциденты и мониторинг сети.

Рекомендации для специалистов по безопасности

На данный момент CISA и Festo не выпустили патчи или обновлённую документацию для устранения этих проблем. Временные меры, которые рекомендуется предпринять:

  1. Инвентаризация и аудит: Проведите полный аудит всех используемых устройств Festo ICS, уделив особое внимание выявлению недокументированных функций с удалённым доступом или открытых портов.
  2. Сегментация сети: Изолируйте устройства Festo в сегментированных OT-сетях, чтобы ограничить возможность горизонтального перемещения в случае компрометации.
  3. Контроль доступа: Настройте строгие правила межсетевого экрана для ограничения доступа к известным IP-портам и функциям удалённого доступа, даже если они не полностью документированы.
  4. Мониторинг: Разверните инструменты сетевого мониторинга для обнаружения аномального трафика или попыток несанкционированного доступа к устройствам Festo.
  5. Взаимодействие с вендором: Свяжитесь со службой поддержки Festo для запроса обновлённой документации и уточнения вопросов безопасности, связанных с недокументированными функциями.

Организациям следует воспринимать эту рекомендацию как напоминание о необходимости проверять документацию вендора на соответствие реальным условиям эксплуатации, особенно в OT-средах, где «безопасность через неясность» не является жизнеспособной стратегией. Ожидаются дальнейшие обновления от CISA или Festo по мере развития ситуации.

Поделиться

TwitterLinkedIn