Emerson Rosemount gaz kromatografilerinde, kötü niyetli kişilerin hassas bilgileri elde etmek, hizmet reddi (DoS) durumu oluşturmak ve hatta keyfi komutlar yürütmek için kullanabileceği çok sayıda güvenlik açığı ortaya çıkarıldı.
Söz konusu kusurlar GC370XA, GC700XA ve GC1500XA’yı etkiliyor ve 4.1.5 ve önceki sürümlerde bulunuyor.
Operasyonel teknoloji (OT) güvenlik firması Claroty’ye göre, güvenlik açıkları arasında, kimliği doğrulanmamış saldırganlar tarafından kimlik doğrulamayı atlamadan komut eklemeye kadar çok çeşitli kötü amaçlı eylemleri gerçekleştirmek için silah olarak kullanılabilen iki komut ekleme kusuru ve iki ayrı kimlik doğrulama ve yetkilendirme güvenlik açığı yer alıyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ocak ayında yayınladığı bir duyuruda, “Bu güvenlik açıklarının başarılı bir şekilde istismar edilmesi, ağ erişimi olan kimliği doğrulanmamış bir saldırganın keyfi komutlar çalıştırmasına, hassas bilgilere erişmesine, hizmet reddi durumu oluşturmasına ve yönetici yetkileri elde etmek için kimlik doğrulamasını aşmasına olanak tanıyabilir” ifadelerini kullandı.
Kritik gaz ölçümlerini gerçekleştirmek için kullanılan kromatograf, MON adlı bir yazılım aracılığıyla yapılandırılabilir ve yönetilebilir. Yazılım ayrıca kritik verileri depolamak ve kromatogramlar, alarm geçmişi, olay günlükleri ve bakım günlükleri gibi raporlar oluşturmak için de kullanılabilir.
Claroty’nin aygıt yazılımı ve aygıt ile Windows istemcisi arasındaki iletişim için kullanılan MON2020 adlı özel protokolün analizi aşağıdaki eksiklikleri ortaya çıkardı:
- CVE-2023-46687 (CVSS puanı: 9,8) – Ağ erişimi olan kimliği doğrulanmamış bir kullanıcı, uzak bir bilgisayardan kök bağlamında keyfi komutlar yürütebilir
- CVE-2023-49716 (CVSS puanı: 6,9) – Ağ erişimi olan kimliği doğrulanmış bir kullanıcı, uzaktaki bir bilgisayardan rastgele komutlar çalıştırabilir
- CVE-2023-51761 (CVSS puanı: 8,3) – Ağ erişimine sahip, kimliği doğrulanmamış bir kullanıcı, kimlik doğrulamayı atlayabilir ve ilgili şifreyi sıfırlayarak yönetici yetenekleri elde edebilir
- CVE-2023-43609 (CVSS puanı: 6,9) – Ağ erişimi olan, kimliği doğrulanmamış bir kullanıcı, hassas bilgilere erişim sağlayabilir veya hizmet reddi durumuna neden olabilir
Sorumlu açıklamanın ardından Emerson şunları açıkladı: [PDF] Güvenlik açıklarını gideren ürün yazılımının güncellenmiş bir sürümü. Şirket ayrıca son kullanıcılara siber güvenlik konusunda en iyi uygulamaları takip etmelerini ve etkilenen ürünlerin doğrudan internete maruz kalmamasını sağlamalarını tavsiye ediyor.
Açıklama, Nozomi Networks’ün AiLux RTU62351B’deki, cihazdaki hassas kaynaklara erişmek, yapılandırmasını değiştirmek ve hatta kök olarak keyfi komutların yürütülmesini sağlamak için kötüye kullanılabilecek çeşitli kusurları ayrıntılı olarak açıklamasının ardından geldi. Bu güvenlik açıkları toplu olarak I11USION olarak adlandırıldı.
Proges Plus sıcaklık izleme cihazlarında ve bunlarla ilişkili yazılımlarda, yani Sensor Net Connect ve Thermoscan IP’de de, kritik tıbbi sistemler üzerinde yönetici ayrıcalıklarına izin verebilecek ve böylece kötü niyetli kişilerin sistem ayarlarını manipüle etmesine, kötü amaçlı yazılım yüklemesine ve verileri sızdırmasına olanak sağlayabilecek açıklar tespit edildi.
Henüz düzeltilmemiş bu açıklar, tıbbi izleme altyapısında DoS durumuna yol açarak sıcaklığa duyarlı ilaç ve aşıların bozulmasına da neden olabilir.