Onlangs presenteerde het Israëlische industriële cyberbeveiligingsbedrijf OTORIO zijn bevindingen over beveiligingslekken die ernstige risico’s voor industriële omgevingen kunnen opleveren. Deze kwetsbaarheden houden verband met cloud management platforms die worden gebruikt door drie verkopers van industriële cellulaire routers: Sierra Wireless, Teltonika Networks en InHand Networks. De kwetsbaarheden werden onthuld op de Black Hat Asia 2023 conferentie. OTORIO liet zien hoe aanvallers deze kwetsbaarheden konden misbruiken om op afstand code uit te voeren en volledige controle te krijgen over honderdduizenden apparaten en OT-netwerken.

Door de kwetsbaarheden kunnen aanvallers beveiligingsprotocollen omzeilen, gevoelige gegevens exfiltreren en op afstand code uitvoeren op interne netwerken. De problemen kunnen zelfs als wapen worden gebruikt om ongeoorloofde toegang tot apparaten te krijgen en kwaadaardige handelingen te verrichten, zoals het uitschakelen ervan met verhoogde machtigingen. De kwetsbaarheden werden ontdekt in de cloudgebaseerde beheeroplossingen die de getroffen leveranciers aanbieden om apparaten op afstand te beheren en te bedienen.

In het bijzonder worden de kwetsbaarheden in verband gebracht met drie verschillende aanvalsvectoren. Zwakke registratiemechanismen voor activa van Sierra Wireless kunnen aanvallers in staat stellen om te scannen naar niet-geregistreerde apparaten die met de cloud zijn verbonden, hun serienummers te verkrijgen, deze te registreren bij een account onder hun controle en willekeurige opdrachten uit te voeren.

Lees ook: “Nieuwe Stealthy Variant van BPFDoor Linux Backdoor ontdekt”

Door fouten in de beveiligingsconfiguraties voor InHand Networks kan een onbevoegde gebruiker CVE-2023-22601, CVE-2023-22600 en CVE-2023-22598, een fout in de opdrachtinjectie, gebruiken om op afstand code uit te voeren met rootprivileges, rebootopdrachten te geven en firmware-updates te pushen. Een dreigingsactor kan externe API’s en interfaces voor Teltonika Networks misbruiken om “gevoelige apparaatinformatie en apparaatgegevens bloot te leggen, uitvoering van code op afstand mogelijk te maken, verbonden apparaten die op het netwerk worden beheerd bloot te leggen en de imitatie van legitieme apparaten mogelijk te maken”.

De zes gebreken die Teltonika Networks treffen werden ontdekt na een “uitgebreid onderzoek” in samenwerking met Claroty. De kwetsbaarheden vormen een aanzienlijk risico voor de toeleveringsketen, aangezien een compromittering door één leverancier een achterdeur kan zijn voor toegang tot verschillende OT-netwerken tegelijk. Met in de cloud beheerde apparaten hebben aanvallers toegang tot meerdere omgevingen tegelijk, waardoor ze een waardevol doelwit vormen. Nu IoT-apparaten steeds meer voorkomen, is het essentieel te weten dat bedreigingsactoren zich kunnen richten op hun cloudbeheerplatforms.

Deze kwetsbaarheden onderstrepen het belang van de toepassing van robuuste beveiligingsprotocollen om industriële omgevingen te beschermen tegen cyberdreigingen. Cloudbeheerplatforms bieden gemak, maar moeten adequaat worden beveiligd om ongeoorloofde toegang te voorkomen en de privacy en integriteit van gegevens te waarborgen. Alle organisaties die gebruik maken van IoT-apparaten en platforms voor cloudbeheer moeten waakzaam blijven en hun netwerken en apparaten proactief beveiligen.