Operasyonel teknoloji (OT) ağlarını dış saldırılara maruz bırakabilecek üç endüstriyel hücresel yönlendirici satıcısıyla ilişkili bulut yönetimi platformlarında çeşitli güvenlik açıkları açıklandı.
Bulgular, geçen hafta Black Hat Asia 2023 konferansında İsrailli endüstriyel siber güvenlik firması OTORIO tarafından sunuldu.
11 güvenlik açığı, “uzaktan kod yürütmeye ve yüz binlerce cihaz ve OT ağı üzerinde tam kontrole – bazı durumlarda, bulutu kullanmak için aktif olarak yapılandırılmamış olanlar bile” izin verir.
Spesifik olarak eksiklikler, cihazları uzaktan yönetmek ve çalıştırmak için Sierra Wireless, Teltonika Networks ve InHand Networks tarafından sunulan bulut tabanlı yönetim çözümlerinde yatmaktadır.
Güvenlik açıklarının başarılı bir şekilde kullanılması, endüstriyel ortamlar için ciddi riskler oluşturarak, saldırganların güvenlik katmanlarını atlatmasına, hassas bilgileri sızdırmasına ve dahili ağlarda uzaktan kod yürütmesine olanak sağlayabilir.
Daha da kötüsü, sorunlar ağdaki cihazlara yetkisiz erişim elde etmek ve yükseltilmiş izinlerle kapatma gibi kötü niyetli işlemleri gerçekleştirmek için silah haline getirilebilir.
Bu da, bulut tabanlı yönetim platformları aracılığıyla bulut tarafından yönetilen IIoT cihazlarını ele geçirmek ve ele geçirmek için kullanılabilecek üç farklı saldırı vektörü sayesinde mümkün olmuştur:
- Zayıf varlık kayıt mekanizmaları (Sierra Wireless): Saldırgan, buluta bağlı kayıtlı olmayan cihazları tarayabilir, AirVantage çevrimiçi Garanti Denetleyicisi aracından yararlanarak seri numaralarını alabilir, kontrolleri altındaki bir hesaba kaydedebilir ve rasgele komutlar yürütebilir.
- Güvenlik yapılandırmalarındaki kusurlar (InHand Ağları): Yetkisiz bir kullanıcı, kök ayrıcalıklarıyla uzaktan kod yürütme elde etmek, yeniden başlatma komutları vermek ve ürün yazılımı güncellemelerini göndermek için bir komut enjeksiyon kusuru olan CVE-2023-22601, CVE-2023-22600 ve CVE-2023-22598’den yararlanabilir.
- Harici API ve arabirimler (Teltonika Ağları): Bir tehdit aktörü, “hassas cihaz bilgilerini ve cihaz kimlik bilgilerini ifşa etmek, uzaktan kod yürütmeyi etkinleştirmek, ağ üzerinde yönetilen bağlı cihazları açığa çıkarmak ve meşru cihazların kimliğine bürünmeye izin vermek” için uzaktan yönetim sisteminde (RMS) tanımlanan birden çok sorunu kötüye kullanabilir.
Teltonika Networks’ü etkileyen altı kusur – CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587 ve CVE-2023-2588 – “kapsamlı bir incelemenin ardından keşfedildi. araştırma” Claroty ile işbirliği içinde yürütülmüştür.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Şirketler, “Bu endüstriyel yönlendiricileri ve IoT cihazlarını başarıyla kullanan bir saldırgan, güvenliği ihlal edilmiş cihazlar ve ağlar üzerinde ağ trafiğini izleme ve hassas verileri çalma, internet bağlantılarını ele geçirme ve dahili hizmetlere erişme dahil olmak üzere bir dizi etkiye neden olabilir” dedi.
OTORIO, bulut tarafından yönetilen cihazların “büyük” bir tedarik zinciri riski oluşturduğunu ve tek bir tedarikçi uzlaşmasının, tek bir taramada birkaç OT ağına erişmek için bir arka kapı görevi görebileceğini söyledi.
Gelişme, siber güvenlik şirketinin kablosuz endüstriyel Nesnelerin İnterneti (IIoT) cihazlarında saldırganlara dahili OT ağlarına doğrudan bir yol sağlayabilecek ve kritik altyapıyı riske atabilecek 38 güvenlik açığını ifşa etmesinden üç aydan biraz daha uzun bir süre sonra geldi.
Güvenlik araştırmacısı Roni Gavrilov, “IIoT cihazlarının konuşlandırılması daha popüler hale geldikçe, bulut yönetim platformlarının tehdit aktörleri tarafından hedef alınabileceğinin farkında olmak önemlidir” dedi. “Sömürülen tek bir IIoT satıcı platformu, aynı anda binlerce ortama erişerek saldırganlar için bir ‘dönüş noktası’ görevi görebilir.”