Nozomi Networks ontdekt fouten in de beveiligingssystemen van Bently Nevada.

OT-beveiligingsspecialist Nozomi Networks heeft drie kwetsbaarheden geïdentificeerd in het Baker Hughes Bently Nevada 3500-rekmodel dat wordt gebruikt om afwijkingen in roterende machines zoals turbines, compressoren, motoren en generatoren te detecteren en te voorkomen.

Nozomi waarschuwt dat de ernstigste van de drie kwetsbaarheden een aanvaller in staat kan stellen het authenticatieproces te omzeilen en volledige toegang tot het apparaat te verkrijgen door een kwaadaardig verzoek in te dienen.

Volgens Nozomi "is de ontwikkeling van een patch niet gepland vanwege verouderde beperkingen."

De eerste ontdekking werd gedaan door reverse-engineering van het eigen protocol dat door het apparaat wordt gebruikt, en Nozomi heeft bevestigd dat al deze kwetsbaarheden invloed hebben op firmwareversies tot 5.05 en hoger van de /22 TDI-module (zowel USB- als seriële versies).

Nozomi stelt de volgende maatregelen voor om de problemen te verzachten.

1. RUN-modus versus CONFIG-modus: PLC's en besturingssystemen implementeren vaak fysieke sleutels om het apparaat in de RUN-modus of in de CONFIG-modus te zetten. Dit laatste wordt doorgaans door technici gebruikt tijdens onderhoudsactiviteiten om schrijftoestemming voor nieuwe configuraties op het apparaat mogelijk te maken. Een veel voorkomende misconfiguratie die kan optreden, is dat u vergeet het apparaat na een onderhoudsactiviteit weer in de RUN-modus te zetten, of dat u kiest voor een standaard altijd ingeschakelde CONFIG-modus om wijzigingen op afstand mogelijk te maken. Een best practice is om ervoor te zorgen dat apparaten waar mogelijk altijd in de RUN-modus worden gehouden.

2. Netwerksegmentatie: Ontwerp en implementeer de juiste netwerksegmentatiestrategieën om te voorkomen dat ongeautoriseerde partijen interactie hebben met kritieke activa. Dit wordt vooral aanbevolen voor oudere oplossingen die niet langer actief worden ondersteund door leveranciers.

3. Sterke en unieke wachtwoorden: Zorg ervoor dat u uniekheid en robuustheid garandeert bij het kiezen van inloggegevens. De voormalige eigenschap wordt vaak onderschat, maar zou bescherming kunnen bieden in die scenario's waarin inloggegevens die uit een kwetsbare machine of component zijn gehaald, gemakkelijk kunnen worden hergebruikt via volledig gepatchte systemen die dezelfde inloggegevens delen.

4. Niet-standaard verbeterde beveiligingsfuncties: Controleer de handleiding van uw apparaat voor beveiligingsfuncties die niet standaard zijn ingeschakeld. Vaak kunnen deze extra features de waarschijnlijkheid of de impact van een specifieke kwetsbaarheid sterk verkleinen en ‘moeilijk te patchen’ situaties verzachten. Rekeninghoudend met Bently Nevada apparaten, raadt Nozomi Networks klanten aan de verschillende beveiligingsniveaus die beschikbaar worden gesteld via het configuratiehulpprogramma te bekijken en het niveau te kiezen dat overeenkomt met de specifieke behoeften en het beveiligingsbeleid.

Als u een dringende bestelling of vraag heeft, neem dan contact met ons op John prijs vrij te vragen.