Bugün Armis ve Honeywell, Armis araştırmacılarının Honeywell Experion® DCS platformlarında bulduğu (7’si kritik olan) 9 yeni güvenlik açığı olan Crit.IX’i ortaklaşa açıkladı. Bu kusurlar, Honeywell sunucusunun hem eski sürümlerinde hem de denetleyicilerde yetkisiz uzaktan kod yürütülmesine izin verebilir.
İstismar edilirse bu, bir saldırganın cihazları ele geçirmesine ve DCS kontrol cihazının çalışmasını değiştirmesine izin verirken aynı zamanda değişiklikleri DCS kontrol cihazını yöneten mühendislik iş istasyonundan gizler. Bu güvenlik açıklarından yararlanmak, kimlik doğrulama gerektirmez, yalnızca hedeflenen cihazlara ağ erişimi gerektirir. Potansiyel olarak, DCS cihazlarıyla aynı ağdaki güvenliği ihlal edilmiş BT, Nesnelerin İnterneti ve OT varlıkları bir saldırı için kullanılabilir.
Bu güvenlik açıklarının ciddiyeti ve potansiyel etkisi nedeniyle Honeywell ve Armis bu bulguları araştırmak, temel sorunları anlamak ve bir yama üzerinde çalışmak için birlikte çalışmaktadır. Honeywell güvenlik yamalarını kullanıma sunmuştur ve etkilenen tüm müşterilere derhal yama yapmalarını şiddetle tavsiye eder. IT Security Guru’ya bir CISA danışma belgesinin bugün daha sonra yayınlanacağı söylendi.
Armis’in CTO’su Tom Gol şunları söyledi: “Crit.IX gibi keşifler, özellikle teknoloji gelişmeye ve günümüz işletmelerine giderek daha fazla entegre olmaya devam ederken, küresel kritik altyapı varlıklarını korumak için siber güvenlik endüstrisini ilerletmek için çok önemlidir. Araştırmacılar ve analistler, altyapımızı daha iyi koruyabilmemiz için toplumun bel bağladığı bu kritik teknolojilerdeki potansiyel güvenlik açıklarını belirlemeye yardımcı olma konusunda burada kilit bir rol oynuyor.
“Armis, milyarlarca cihazı takip eden dünyanın en büyük varlık bilgi tabanlarından birine sahip ve kuruluşlara saldırı alanlarını nasıl yönetecekleri konusunda benzersiz bir uzmanlık sunuyor. Kurumları günümüzün sürekli genişleyen saldırı yüzeyinde karşılaştıkları tehditlere karşı proaktif bir şekilde yönlendirmeye ve korumaya yardımcı olmak için Crit.IX gibi daha fazla keşfe yol açacak olan sektör genelinde işbirliğini sürdürmeli ve artırmalıyız.”
Blogun tamamı burada bulunabilir.