Modern toplumun can damarı olan kritik altyapı, Censys’in yeni bir raporunun 145.000’den fazla endüstriyel kontrol sistemi (ICS) cihazının internete maruz kaldığını ortaya koymasıyla artan bir tehdit altında.
Bunların arasında, operatörlerin kritik sistemleri kontrol etmesine olanak tanıyan binlerce insan-makine arayüzü (HMI) güvenli değildir ve kötü niyetli aktörlerin istismarına karşı savunmasız kalır.
Bulgular, küçük aksaklıkların bile geniş kapsamlı sonuçlara yol açabileceği enerji, su ve ulaşım gibi temel hizmetlere yönelik artan riskleri vurguluyor.
Rapor, küresel ICS güvenlik açıklarının çarpıcı bir resmini çiziyor. Sistem yönetimini basitleştirmek için tasarlanan birçok HMI’ya, kimlik doğrulaması olmadan çevrimiçi olarak erişilebiliyor ve saldırganlara hayati öneme sahip operasyonlara doğrudan bir yol sunuluyor.
Bu arayüzler, ICS protokollerine ilişkin uzmanlık bilgisi ihtiyacını ortadan kaldırarak saldırganların kritik sistemleri endişe verici bir kolaylıkla manipüle etmesine olanak tanır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Güvenli Olmayan ICS Cihazları Açığa Çıktı
Kuzey Amerika, küresel güvenlik açıklarının %38’ini oluşturarak ICS’ye maruz kalma konusunda dünya lideridir ve yalnızca Amerika Birleşik Devletleri, açığa çıkan cihazların üçte birinden fazlasına ev sahipliği yapmaktadır.
Raporda ayrıca, gelişmiş ICS uzmanlığı gerekmeden operasyonları manipüle etmek için açığa çıkan HMI’ların kullanıldığı Pennsylvania ve Teksas’taki su sistemlerine yapılan saldırılar gibi gerçek dünya örnekleri de ayrıntılarıyla anlatılıyor.
Yıllardır ICS siber güvenliğinin odak noktası Modbus ve DNP3 gibi özel protokollerin korunması olmuştur.
Ancak Censys raporu daha acil bir tehdidin altını çiziyor: açığa çıkan HMI’lar ve uzaktan erişim noktaları.
Çoğu zaman yanlış yapılandırılmış ve temel güvenlik önlemlerinden bile yoksun olan bu arayüzler, saldırganların minimum çabayla yararlanabileceği düşük karmaşıklıktaki giriş noktaları sunar.
Kullanıcı dostu tasarımları, derin teknik bilgiye ihtiyaç duymadan doğrudan operasyonel kontrole izin verdikleri için onları özellikle çekici hedefler haline getiriyor.
2024 yazında internete bağlı HMI’lar üzerinde çalışan bir tehdit istihbarat firması olan GreyNoise’un yakın tarihli araştırmasına göre.
Bulguları, bu tür sistemlerin çevrimiçi ortamda keşfedildikten hemen sonra saldırganlar tarafından tarandığını ve incelendiğini ortaya çıkardı. Bazı durumlarda, bu cihazları tarayan IP adreslerinin %30’undan fazlasının daha sonra kötü amaçlı olduğu belirlendi.
İlginçtir ki araştırma, saldırganların sıklıkla ICS’ye özgü protokoller yerine Sanal Ağ Bilgi İşlem (VNC) gibi uzaktan erişim protokollerini hedeflediğini buldu ve bu giriş noktalarının güvenliğinin sağlanması ihtiyacını daha da vurguladı.
ICS cihazlarının giderek daha fazla açığa çıkması teknik bir sorundan daha fazlasıdır; bu toplumsal bir meydan okumadır. Kritik altyapının korunması acil müdahale gerektirir.
Kuruluşların internete yönelik sistemlerin kapsamlı envanterlerini tutması, güçlü kimlik doğrulama ve ağ bölümlendirmesi ile HMI’ları güvenli hale getirmesi ve potansiyel keşif faaliyetleri için sistemleri izlemesi gerekir.
ICS protokollerini korumak önemini korurken, odak noktası HMI’lar ve uzaktan erişim hizmetleri gibi düşük seviyedeki güvenlik açıklarının güvenliğine kaydırılmalıdır.
Censys raporunda belirtilen güvenlik açıkları bir uyandırma çağrısıdır. Bunlara değinilmezse, kamu güvenliği ve ulusal güvenlik açısından feci sonuçlara yol açabilirler. Şimdi harekete geçme zamanı; kritik sistemlerin güvenliğini sağlamak ve sömürülebilir açıkları kapatmak artık isteğe bağlı değil, esastır.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin