.jpg)
Yüzlerce güneş enerjisi izleme sistemi, üçlü kritik uzaktan kod yürütme (RCE) güvenlik açığına karşı savunmasızdır. Uzmanlar, Mirai botnet’in arkasındaki bilgisayar korsanları ve hatta amatörlerin şimdiden avantaj sağlamaya başladığını ve diğerlerinin de takip edeceğini tahmin ediyor.
Palo Alto Networks’ün 42. Birim araştırmacıları daha önce, Mirai botnet’in, üretici Contec tarafından geliştirilen SolarView Serisi yazılımındaki bir komut enjeksiyon kusuru olan CVE-2022-29303 aracılığıyla yayıldığını keşfetmişti. Contec’in web sitesine göre, SolarView 30.000’den fazla güneş enerjisi santralinde kullanılmıştır.
Çarşamba günü, güvenlik açığı istihbarat firması VulnCheck bir blog gönderisinde CVE-2022-29303’ün bunlardan biri olduğuna dikkat çekti. üç SolarView’daki kritik güvenlik açıkları ve onları hedefleyen Mirai bilgisayar korsanlarından daha fazlası.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, “En olası en kötü senaryo, izlenen ekipmanın görünürlüğünü kaybetmek ve bir şeylerin arızalanmasıdır” diye açıklıyor. Yine de teorik olarak, “saldırganın daha fazla zarar vermek veya çevreye daha derine inmek için güvenliği ihlal edilmiş izleme sisteminin denetiminden yararlanabilmesi” de mümkündür.
SolarView’da Ozon Boyutunda Üç Delik
CVE-2022-29303, SolarView Web sunucusundaki belirli bir uç noktadan (confi_mail.php) alınır ve kullanıcı girdi verilerini yeterince temizlemede başarısız olur ve uzaktan suiistimale olanak tanır. Yayınlandığı ay güvenlik blogcuları, araştırmacılar ve bir YouTuber’ın dikkatini çeken hata, açıktan yararlanmayı hâlâ herkesin erişebileceği bir video gösterisinde gösterdi. Ancak SolarView içindeki tek sorun bu değildi.
Birincisi, tamamen benzer bir komut enjeksiyon güvenlik açığı olan CVE-2023-23333 var. Bu, farklı bir uç nokta olan downloader.php’yi etkiler ve ilk olarak Şubat ayında ortaya çıkmıştır. Ve geçen yılın sonuna doğru yayınlanan CVE-2022-44354 var. CVE-2022-44354, üçüncü bir uç noktayı etkileyen ve saldırganların hedeflenen sistemlere PHP Web kabukları yüklemesine olanak tanıyan, sınırsız bir dosya yükleme güvenlik açığıdır.
VulnCheck, consfi_mail.php gibi bu iki uç noktanın “GreyNoise üzerindeki kötü niyetli ana bilgisayarlardan isabetler ürettiğini, yani bunların da muhtemelen bir düzeyde aktif sömürü altında olduklarını” belirtti.
Üç güvenlik açığına da “kritik” 9,8 (10 üzerinden) CVSS puanı verildi.
SolarView Hataları Ne Kadar Büyük Bir Siber Sorun?
Yalnızca İnternet’e açık SolarView örnekleri, uzaktan güvenlik ihlali riski altındadır. VulnCheck tarafından yapılan hızlı bir Shodan araması, bu ay itibariyle açık Web’e bağlı 615 vakayı ortaya çıkardı.
Parkin, gereksiz baş ağrısının başladığı yerin burası olduğunu söylüyor. “Bunların çoğu çalıştırılmak üzere tasarlanmıştır. içinde bir ortamdır ve çoğu kullanım durumunda açık internetten erişime ihtiyaç duymamalıdır” diyor. Hepsini kendi sanal yerel alan ağlarına (VLAN’lar) kendi IP adres alanlarına koyabilir ve bunlara erişimi belirli birkaç ağ geçidi veya uygulama vb. ile kısıtlayabilirsiniz.”
Operatörler, en azından sistemleri yamalanırsa çevrimiçi kalma riskini alabilir. Bununla birlikte, dikkat çekici bir şekilde, İnternete bakan bu SolarView sistemlerinden 425’i – toplamın üçte ikisinden fazlası – yazılımın gerekli düzeltme ekine sahip olmayan sürümlerini çalıştırıyordu.
En azından kritik sistemler söz konusu olduğunda bu anlaşılabilir olabilir. “IoT ve operasyonel teknoloji cihazlarının güncellenmesi, tipik PC’nize veya mobil cihazınıza kıyasla genellikle çok daha zordur. Bazen yönetim, sistemlerini güvenlik yamaları yüklemek için yeterince uzun süre çevrimdışı tutmak yerine riski kabul etmeyi seçer. ” diyor Parkin.
Üç CVE’ye de SolarView 8.00 sürümünde yama yapıldı.