بیش از ۱۴۵،۰۰۰ سیستم کنترل صنعتی (ICS) در اینترنت در معرض خطر قرار دارند و آسیبپذیری سیستمهای کنترل صنعتی زیرساختهای حیاتی ۱۷۵ کشور را با خطرات قابل توجهی مواجه میکند. این آسیبپذیری، نیاز فوری به بهبود اقدامات امنیتی ICS را برجسته میکند.
یک مطالعه اخیر توسط Censys تعداد نگرانکنندهای از سیستمهای کنترل صنعتی (ICS) متصل به اینترنت را در سراسر جهان، بالغ بر ۱۴۵،۰۰۰ سیستم در ۱۷۵ کشور، آشکار کرده است. این گستردگی قرارگیری در معرض خطر، ریسک قابلتوجهی برای زیرساختهای حیاتی ایجاد میکند و نیاز فوری به بهبود اقدامات امنیتی ICS را برجسته میسازد. ایالات متحده با بیش از ۴۸،۰۰۰ سیستم در معرض خطر، بیش از یک سوم از کل جهان را به خود اختصاص داده است. سایر کشورها با تعداد بالای سیستمهای در معرض خطر شامل ترکیه، کره جنوبی، ایتالیا، کانادا، اسپانیا، چین، آلمان، فرانسه، بریتانیا، ژاپن، سوئد، تایوان، لهستان و لیتوانی هستند.
سیستمهای در معرض خطر از پروتکلهای مختلف ICS رایج، از جمله Modbus، IEC 60870-5-104، CODESYS، OPC UA و سایر پروتکلها استفاده میکنند. جالب توجه است که توزیع این پروتکلها به صورت منطقهای متفاوت است. اروپا شیوع Modbus، S7 و IEC 60870-5-104 را نشان میدهد، در حالی که آمریکای شمالی Fox، BACnet، ATG و C-more بیشتری را مشاهده میکند. برخی از پروتکلها، مانند EIP، FINS و WDBRPC، معمولاً در هر دو منطقه استفاده میشوند.
بخش قابل توجهی از رابطهای انسان و ماشین (HMI) C-more در معرض خطر، مربوط به مدیریت آب و فاضلاب (۳۴٪) و فرآیندهای کشاورزی (۲۳٪) هستند. HMIها، که برای نظارت و تعامل با ICS استفاده میشوند، به طور فزایندهای از طریق اینترنت برای دسترسی از راه دور در دسترس هستند و سطح حمله را بیشتر گسترش میدهند. این دسترسیپذیری، همراه با پروتکلهای امنیتی اغلب قدیمی، یک آسیبپذیری قابل توجه ایجاد میکند. همانطور که ذاکر دورومریک، یکی از بنیانگذاران و دانشمند ارشد Censys، اشاره میکند، بسیاری از این پروتکلها به دهه ۱۹۷۰ برمیگردند و فاقد پیشرفتهای امنیتی مشاهده شده در سایر حوزههای فناوری هستند. درک تفاوتهای ظریف این قرارگیری در معرض خطر برای حفاظت موثر بسیار مهم است.
در حالی که حملات هدفمند به سیستمهای ICS نسبتاً نادر بوده است، با تنها نه گونه بدافزار شناخته شده، اخیراً افزایش یافته است، به ویژه از زمان شروع جنگ روسیه و اوکراین. یک نمونه FrostyGoop (همچنین به عنوان BUSTLEBERM شناخته میشود)، بدافزاری است که شرکتهای انرژی اوکراینی را هدف قرار میدهد. این بدافزار از ارتباطات Modbus TCP برای مختل کردن شبکههای فناوری عملیاتی (OT) سوء استفاده میکند و به طور بالقوه باعث نقص دستگاه و شرایط انکار سرویس (DoS) میشود. توانایی بدافزار برای هدف قرار دادن هر دستگاهی با استفاده از Modbus TCP، خطر گستردهتری را که توسط سیستمهای در معرض خطر ایجاد میشود، برجسته میکند. دادههای تلهمتری نشان میدهد که بیش از یک میلیون دستگاه Modbus TCP در یک ماه در اواخر سال ۲۰۲۴ در معرض اینترنت قرار گرفتهاند.
سایر بخشهای زیرساخت حیاتی نیز در معرض خطر هستند. سال گذشته، اداره آب شهری Aliquippa، پنسیلوانیا، به دلیل کنترلکنندههای منطقی قابل برنامهریزی (PLC) Unitronics که در معرض اینترنت قرار داشتند، دچار نقض امنیتی شد. مهاجمان سیستمها را با یک پیام ضد اسرائیلی مخدوش کردند و پتانسیل حملات مخرب و با انگیزه سیاسی را نشان دادند.
افزایش قرارگیری HMIها در معرض خطر، ریسک را بیشتر میکند. اکثر HMIهای در معرض خطر در ایالات متحده، و پس از آن آلمان، کانادا، فرانسه، اتریش، ایتالیا، بریتانیا، استرالیا، اسپانیا و لهستان قرار دارند. عامل نگرانکننده این است که بسیاری از این HMIها و سرویسهای ICS در معرض خطر در شبکههای ارائهدهندگان خدمات اینترنتی (ISP) بزرگ تلفن همراه و تجاری قرار دارند و شناسایی صاحبان واقعی سیستم را دشوار میکند. این عدم وجود اطلاعات مالکیت، تلاشهای اطلاعرسانی و اصلاح را مختل میکند. Censys پیشنهاد میکند که همکاری این شرکتهای مخابراتی برای رسیدگی به این چالش ضروری است.
سطح حمله گسترده ارائه شده توسط شبکههای ICS و OT مستلزم اقدامات امنیتی پیشگیرانه است. سازمانها باید شناسایی و ایمنسازی دستگاههای در معرض خطر، بهروزرسانی اعتبارنامههای پیشفرض و اجرای نظارت قوی شبکه برای فعالیتهای مخرب را در اولویت قرار دهند. این خطر با افزایش بدافزارهای باتنت مانند Aisuru، Kaiten، Gafgyt، Kaden و LOLFME که از اعتبارنامههای پیشفرض در دستگاههای OT برای حملات DDoS و پاک کردن دادهها سوء استفاده میکنند، تشدید میشود.
یافتههای Censys نگرانیهای مشابهی را که توسط Forescout در مورد آسیبپذیریهای دستگاههای پزشکی مطرح شده است، منعکس میکند. Forescout ایستگاههای کاری تصویربرداری و ارتباطات دیجیتال در پزشکی (DICOM)، سیستمهای بایگانی و ارتباطات تصویر (PACS)، کنترلکنندههای پمپ و سیستمهای اطلاعات پزشکی را به عنوان آسیبپذیرترین موارد شناسایی کرد. قرارگیری گسترده DICOM، یک سرویس پرکاربرد توسط دستگاههای اینترنت اشیا پزشکی (IoMT)، خطر قابل توجهی برای سازمانهای مراقبتهای بهداشتی ایجاد میکند.
اتصال فزاینده سیستمهای زیرساخت حیاتی، همراه با شیوع پروتکلهای امنیتی قدیمی، یک چالش امنیت سایبری قابل توجه و رو به رشد ایجاد میکند. اقدامات پیشگیرانه، از جمله نظارت قوی شبکه، اسکن آسیبپذیری و بهروزرسانیهای امنیتی منظم، برای کاهش این خطرات و حفاظت از خدمات ضروری بسیار مهم هستند. همکاری بین سازمانها، محققان امنیتی و ISPها برای رسیدگی موثر به این موضوع پیچیده ضروری است.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
