Wago ve Schneider Electric’in operasyonel teknoloji (OT) ürünlerinde üç güvenlik açığı açıklandı.
Forescout’a göre kusurlar, toplu olarak adlandırılan daha geniş bir dizi eksikliğin parçası. OT: Buzulşu anda 13 farklı satıcıyı kapsayan toplam 61 sayıdan oluşuyor.
Şirket, The Hacker News ile paylaştığı bir raporda, “OT:ICEFALL, OT cihaz satıcılarının güvenli tasarım, yama ve test işlemleriyle ilgili süreçlerin daha sıkı incelenmesi ve iyileştirilmesi gerektiğini gösteriyor” dedi.
Kusurların en ciddisi, Schneider Electric’in güç ölçüm cihazları tarafından kullanılan ION/TCP protokolündeki kimlik bilgilerinin düz metin iletimiyle ilgili olan CVE-2022-46680’dir (CVSS puanı: 8,8).
Hatanın başarılı bir şekilde kullanılması, tehdit aktörlerinin savunmasız cihazların kontrolünü ele geçirmesini sağlayabilir. CVE-2022-46680’in, Forescout tarafından Haziran 2022’de ilk olarak ortaya çıkarılan 56 kusurdan biri olduğunu belirtmek gerekir.
Diğer iki yeni güvenlik açığı (CVE-2023-1619 ve CVE-2023-1620, CVSS puanları: 4.9), WAGO 750 kontrol cihazlarını etkileyen ve kimliği doğrulanmış bir saldırgan tarafından belirli oturum kapatıldıktan sonra hatalı biçimlendirilmiş paketler veya belirli istekler.
Forescout, OT:ICEFALL araştırmasını sonuçlandırırken, satıcıların tasarım gereği güvenlik uygulamaları konusunda hâlâ temel bir anlayışa sahip olmadıklarını ve eksik yamalar yayınladıklarını ve uygun güvenlik testi prosedürlerini uygulamada başarısız olduklarını belirtiyor.
Şirket, “OT ürünleri güvenlik kontrollerini uygulamaya başlayıp sonunda sertifika almaya başladıkça, güvenlik duruşlarına ilişkin algı değişebilir ve telafi edici kontrollerle ilgili aciliyet duygusu düşebileceğinden, bu durum yanlış bir güvenlik algısına yol açabileceği için bu endişe vericidir” dedi.