研究人员披露了影响10家供应商OT设备的56个漏洞

由于研究人员称之为“设计实践不安全”，10家运营技术（OT）供应商的设备中已发现近50多个安全漏洞,合称为OT：冰瀑.

该公司在一份技术报告中表示：“攻击者利用这些漏洞，通过网络访问目标设备，可以远程执行代码、更改OT设备的逻辑、文件或固件、绕过身份验证、泄露凭据、拒绝服务或产生各种操作影响。”。

考虑到受影响的产品广泛应用于石油和天然气、化工、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业，这些漏洞可能会带来灾难性后果。

在发现的56个漏洞中，38%允许泄露凭据，21%允许固件操作，14%允许远程代码执行，8%的漏洞允许篡改配置信息。

除了可能允许攻击者提供任意代码并对固件进行未经授权的修改外，还可以利用这些弱点使设备完全脱机，并绕过现有的身份验证功能来调用目标上的任何功能。

更重要的是，破坏的身份验证方案—；包括绕过、使用有风险的加密协议、硬编码和明文凭证—；占56个缺陷中的22个，表明在实施过程中“安全控制不足”。

在一个假设的现实世界场景中，这些缺点可以针对天然气管道、风力涡轮机或离散制造装配线进行武器化，以中断燃料运输、覆盖安全设置、停止控制压缩机站的能力以及改变可编程逻辑控制器（PLC）的功能。

但威胁不仅仅是理论上的。一个影响欧姆龙NJ/NX控制器（CVE-2022-31206）的远程代码执行缺陷实际上被一个名为CHERNOVITE的州联盟参与者利用，开发了一个名为PIPEDREAM（又名InControl）的复杂恶意软件。

使风险管理复杂化的是，IT和OT网络之间的互联性日益增强，再加上许多OT系统的不透明和专有性质，更不用说没有CVE，这使得长期存在的问题看不见，并长期保留这种不安全的设计特征。

为了缓解OT:ICEFALL问题，建议发现并清点易受攻击的设备，实施OT资产的细分，监控网络流量中的异常活动，并通过设计购买安全的产品来加强供应链。

研究人员说：“最近针对关键基础设施（如Industroyer2、Triton和InControl）的恶意软件的发展表明，威胁行为体意识到操作技术的设计不安全性，并准备利用它来造成严重破坏。”。

“尽管标准驱动的强化工作在OT安全中发挥着重要作用，但具有不安全的设计特性和轻微破坏的安全控制的产品仍在继续获得认证。”