CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), tehdit aktörlerinin çevrimiçi ortamda açığa çıkan Unitronics programlanabilir mantık denetleyicilerine (PLC’ler) girerek bir ABD su tesisini ihlal ettiği konusunda uyarıyor.
PLC’ler endüstriyel ortamlarda çok önemli kontrol ve yönetim cihazlarıdır ve bilgisayar korsanlarının bunları ele geçirmesi, kimyasal dozajı değiştirmek için cihazı manipüle ederek su kaynağının kirlenmesi gibi ciddi sonuçlara yol açabilir.
Diğer riskler arasında su tedariğinin durmasına yol açan hizmet kesintisi ve pompaların aşırı yüklenmesi veya vanaların açılıp kapanması nedeniyle altyapının fiziksel olarak hasar görmesi yer alıyor.
CISA, bilgisayar korsanlarının bu cihazları hackleyerek ABD’deki bir su tesisini zaten ihlal ettiğini doğruladı. Ancak saldırı, hizmet verilen toplulukların içme suyu güvenliğini tehlikeye atmadı.
CISA’nın uyarısında “Siber tehdit aktörleri, ABD’deki bir su tesisinde tanımlanmış bir Unitronics PLC dahil olmak üzere WWS tesisleriyle ilişkili PLC’leri hedef alıyor” ifadesine yer veriliyor.
“Cevap olarak, etkilenen belediyenin su idaresi sistemi derhal devre dışı bıraktı ve manuel işlemlere geçti; belediyenin içme suyu veya su temini için bilinen bir risk yoktur.”
Ajans, tehdit aktörlerinin, üründeki sıfır gün güvenlik açığından yararlanmak yerine, insan-makine arayüzü (HMI) ile Unitronics Vision Serisi PLC’ye saldırmak için zayıf güvenlik uygulamalarından yararlandığının altını çiziyor.
Sistem yöneticileri için önerilen önlemler şunlardır:
- “1111”in kullanılmadığından emin olarak varsayılan Unitronics PLC şifresini değiştirin.
- BT ve harici ağlardan erişim de dahil olmak üzere, Operasyonel Teknoloji (OT) ağına tüm uzaktan erişim için MFA’yı (çok faktörlü kimlik doğrulama) uygulayın.
- PLC’yi açık internetten ayırın. Uzaktan erişim gerekliyse erişimi kontrol etmek için bir Güvenlik Duvarı/VPN kurulumu kullanın.
- Fidye yazılımı saldırıları durumunda hızlı kurtarma için mantığı ve yapılandırmaları düzenli olarak yedekleyin.
- Genellikle siber aktörler tarafından hedeflenen varsayılan TCP bağlantı noktası 20256’yı kullanmaktan kaçının. Mümkünse farklı bir TCP bağlantı noktası kullanın ve ek güvenlik için PCOM/TCP filtreleri kullanın.
- PLC/HMI aygıt yazılımını Unitronics tarafından sağlanan en son sürüme güncelleyin.
CISA’nın tavsiye belgesinde saldırıların arkasındaki tehdit aktörü belirtilmese de Cyberscoop, yakın zamanda Aliquippa, Pennsylvania Belediye Su İdaresi’ne yönelik bir saldırının İranlı saldırganlar tarafından gerçekleştirildiğini bildirdi.
Bu saldırının bir parçası olarak tehdit aktörleri, tehdit aktörlerinden gelen bir mesajı görüntülemek için Unitronics PLC’lerini ele geçirdi.
CISA ayrıca Eylül 2023’te su hizmetleri gibi kritik altyapı tesislerine yönelik, güvenlik açıklarını tespit etmelerine ve sistemlerini fırsatçı saldırılara karşı korumalarına yardımcı olacak ücretsiz bir güvenlik tarama programı duyurdu.