Kerentanan ‘Icefall’ dalam produk OT terkemuka membuka pintu bagi peretas
togel

Kerentanan ‘Icefall’ dalam produk OT terkemuka membuka pintu bagi peretas

56 kerentanan keamanan telah ditemukan dalam produk teknologi operasional yang membuka pintu bagi berbagai jenis peretasan.

Dijuluki “Icefall” oleh peneliti keamanan di Vedere Labs Forescout Technolgoies Inc., kerentanan dikatakan disebabkan oleh praktik desain yang tidak aman dalam PL. Produk yang terkena dampak lazim di industri seperti minyak dan gas, kimia, nuklir, pembangkit listrik dan distribusi, manufaktur, pengolahan dan distribusi air, pertambangan dan otomatisasi bangunan. Banyak produk yang terpengaruh karena dijual sebagai “aman menurut desain” atau telah disertifikasi sebagai aman.

Kerentanan Icefall termasuk dalam empat kategori utama – protokol teknik yang tidak aman, kriptografi yang lemah atau skema otentikasi yang rusak, pembaruan firmware yang tidak aman, dan eksekusi kode jarak jauh melalui fungsionalitas asli.

Dari kerentanan, 38% memungkinkan kompromi kredensial, 21% memungkinkan manipulasi firmware, dan 14% memungkinkan eksekusi kode jarak jauh. Menggunakan kerentanan, peretas dengan akses jaringan ke perangkat yang ditargetkan dapat mengeksekusi kode dari jarak jauh, mengubah logika, file, atau firmware perangkat OT, melewati otentikasi, mengkompromikan kredensial, menyebabkan penolakan layanan atau memiliki berbagai dampak operasional.

Vendor yang terkena dampak termasuk Honeywell International Inc., Motorola Solutions Inc., Omron Corp., Siemens AG, Emerson Electric Co., JTEKT Corp. TYO, Bentley Nevada, Phoenix Contract sro, ProConOS dan Yokogawa Electric Corp. Vendor yang terkena dampak diberitahu tentang kerentanan sebelum rincian diterbitkan.

Biasanya masalah keamanan dengan perangkat lunak dan teknologi dialokasikan nomor Kerentanan Umum dan Eksposur, tetapi ini biasanya tidak terjadi dengan PL. “Masalah yang dianggap sebagai akibat dari ketidakamanan secara desain tidak selalu ditetapkan sebagai CVE, sehingga seringkali tetap kurang terlihat dan tidak dapat ditindaklanjuti daripada yang seharusnya,” tulis para peneliti.

Laporan Forescout juga merinci berbagai skenario yang dapat digunakan terhadap perangkat lunak OT dengan kerentanan, termasuk menyebabkan penghentian dan berpotensi merusak infrastruktur di dunia nyata.

“Sementara luas dan dalamnya kerentanan yang diidentifikasi di Icefall tampak seperti skenario hari kiamat, Forescout baru saja menguraikan apa yang sudah diketahui banyak dari kita di industri – protokol tidak aman, tidak diautentikasi, dan pilihan teknik ‘tidak aman menurut desain’ lainnya yang tidak pernah ada. benar-benar dimaksudkan untuk menjadi CVE,” Ron Fabela, salah satu pendiri dan kepala teknologi keamanan siber industri dan perusahaan pemantauan aset SynSaber Inc., mengatakan kepada SiliconANGLE. “Sekali lagi, ini bukan kerentanan karena keamanan informasi akan mengidentifikasinya, tetapi sebenarnya ‘itu bukan bug, ini fitur’ untuk industri.”

“Protokol dirancang untuk tidak menggunakan otentikasi dan meskipun ada opsi aman untuk protokol industri, adopsinya lambat,” Fabela menjelaskan. “’Protokol tidak menggunakan autentikasi’ dapat menghasilkan ribuan CVE di berbagai vendor dan lini bisnis karena autentikasi tidak pernah dimaksudkan.”

Chris Clements, wakil presiden arsitektur solusi di perusahaan manajemen layanan TI Cerberus Cyber ​​Sentinel Corp. mencatat bahwa “seseorang mungkin salah berasumsi bahwa kontrol industri dan perangkat teknologi operasional yang melakukan beberapa tugas paling vital dan sensitif di lingkungan infrastruktur kritis akan berada di antara sistem yang paling aman di dunia, namun kenyataannya seringkali justru sebaliknya.”

“Terlalu banyak perangkat dalam peran ini memiliki kontrol keamanan yang sangat mudah bagi penyerang untuk dikalahkan atau dilewati untuk mengambil kendali penuh atas perangkat,” tambah Clements. “Saya percaya ini adalah industri yang mengalami perhitungan keamanan siber yang telah lama tertunda.”

Gambar: Pramuka

Tunjukkan dukungan Anda untuk misi kami dengan bergabung dengan Cube Club dan Komunitas Pakar Acara Cube kami. Bergabunglah dengan komunitas yang mencakup Amazon Web Services dan CEO Amazon.com Andy Jassy, ​​pendiri dan CEO Dell Technologies Michael Dell, CEO Intel Pat Gelsinger dan banyak lagi tokoh dan pakar.

Untuk pas ini bermain togel sidney dan togel hongkong sangatlah mudah, para pemain memadai bermodal smartphone dan jaringan internet untuk mampu mencari bandar togel sidney dan toto sgp di pencarian google. Namun, harus anda mengerti tidak seluruh website togel sidney dan toto sgp yang tersedia di pencarian google dapat kami percayai. Karena terhadap kala ini sudah terdapat ratusan situs togel online penipuan yang hanya mendambakan meraih keuntungan sepihak. Oleh gara-gara itu kini kami menganjurkan kamu untuk bermain togel sidney dan togel singapore di web site terpercaya dan formal layaknya