ABD’deki Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), daha önceki bir uyarıyla ilgili güncelleme de dahil olmak üzere Endüstriyel Kontrol Sistemleri (ICS) güvenlik açıklarıyla ilgili üç öneri yayınladı.
Bu öneriler, mevcut güvenlik sorunları, Endüstriyel Kontrol Sistemleri güvenlik açıkları ve bunların potansiyel istismarları hakkında önemli bilgiler sağlamayı amaçlamaktadır.
Bu önerilerde tanımlanan Endüstriyel Kontrol Sistemleri güvenlik açıkları, endüstriyel kontrol sistemlerinin güvenliği ve işlevselliği açısından önemli riskler oluşturmaktadır.
Endüstriyel Kontrol Sistemleri güvenlik açıkları: PiiGAB M-Bus
Süreç bilgisinde uzmanlaşmış bir şirket olan PiiGAB, M-Bus SoftwarePack 900S’de birden çok güvenlik açığı bildirdi.
Bu güvenlik açıkları şunları içerir:
Kod yerleştirme (CVE-2023-36859)
Kimlik doğrulama girişimlerinin uygunsuz şekilde kısıtlanması (CVE-2023-33868)
Kimlik bilgilerinin korumasız aktarımı (CVE-2023-31277)
Sabit kodlanmış kimlik bilgilerinin kullanımı (CVE-2023-35987)
Parolaların düz metin olarak saklanması (CVE-2023-35765)
Siteler arası betik çalıştırma (CVE-2023-32652)
Zayıf parola gereksinimleri (CVE-2023-34995)
Zayıf parola karması kullanımı (CVE-2023-34433)
Siteler arası istek sahteciliği (CVE-2023-35120)
CISA uyarısı, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın rasgele komutlar enjekte etmesine, parolaları çalmasına veya geçerli kullanıcıları kötü niyetli komutları yürütmeleri için kandırmasına izin verebilir” dedi.
Özellikle, zayıf parola politikaları ve parolaların korkunç bir düz metin depolaması, siteler arası istek sahteciliği olasılığıyla birleştiğinde, uyarıyı PiiGAB M-Bus kullanıcıları için çok önemli hale getiriyor.
ICS siber güvenlik açıklarına ilişkin bir Checkpoint tavsiye belgesinde “BT ve OT personeli endüstriyel kontrolleri güvence altına alma yaklaşımlarında farklılık gösterdiğinde güvenlik açıkları oluşur” dedi.
“Farklı taraflar, hem BT hem de OT teknolojisini koruyan birleşik bir güvenlik politikası oluşturmak için birlikte çalışmalıdır.”
Endüstriyel Kontrol Sistemleri güvenlik açıkları: ABUS TVIP
Bir güvenlik kamera sistemleri satıcısı olan ABUS, ABUS TVIP iç mekan güvenlik kameralarında bir güvenlik açığı tespit etti.
Komut enjeksiyonu olarak bilinen bu güvenlik açığı, uzaktaki saldırganların kamera yapılandırmasının belirli bir alanındaki kabuk metakarakterlerinden yararlanarak rasgele kod yürütmesine olanak tanır.
Imperva’dan bir açıklayıcı, “Komut enjeksiyonu, bir ana bilgisayar işletim sisteminde (OS) rasgele komutların yürütülmesini içeren bir siber saldırıdır” dedi.
“Tipik olarak, tehdit aktörü, yetersiz giriş doğrulaması gibi bir uygulama güvenlik açığından yararlanarak komutları enjekte eder.”
“CVE-2023-26609 bu güvenlik açığına atanmıştır. 7.2’lik bir CVSS v3 taban puanı hesaplandı,” dedi CISA uyarısı.
Bu güvenlik açığından yararlanılması, rastgele dosya okumalarına veya uzaktan kod yürütülmesine neden olabilir. Uyarı, bu güvenlik açığının ciddiyetinin orta düzeyde olarak derecelendirildiğini ve genel açıklardan yararlanılabileceğini belirtti.
ICS güvenlik açıkları: Mitsubishi Electric MELSEC Serisi CPU Modülü
Mitsubishi Electric Corporation, MELSEC Serisi CPU modüllerinde (CVE-2023-1424) önceden tanımlanmış bir güvenlik açığıyla ilgili bir güncelleme yayınladı.
Klasik arabellek taşması olarak sınıflandırılan güvenlik açığı, CISA’nın bununla ilgili bir uyarı yayınladığı Mayıs ayında siber güvenlik haberlerinde yer almıştı.
Etkilenen modüllerde yetersiz giriş boyutu kontrolleri nedeniyle var. Bu güvenlik açığından yararlanılması, hizmet reddi durumuna veya kötü amaçlı kod yürütülmesine neden olabilir.
CISA uyarısı, “Bu güvenlik açığından başarıyla yararlanılması, uzaktaki bir saldırganın hizmet reddi durumuna neden olmasına veya özel hazırlanmış paketler göndererek hedef üründe kötü amaçlı kod yürütmesine olanak sağlayabilir” dedi.
“Saldırganın kötü amaçlı kod yürütmek için ürünlerin dahili yapısını anlaması gerekiyor. Bu nedenle, kötü amaçlı kod yürütmek zordur.”
Mitsubishi Electric, bu güvenlik açığının yedi MELSEC Serisi CPU modülü bileşenini etkilediğini bildirdi. Mitsubishi Electric, bu sorunu çözmek için üretici yazılımı güncellemeleri yayınladı.
ICS güvenlik açıkları: Hafifletmeler ve öneriler
Bu güvenlik açıklarına yanıt olarak, etkilenen sağlayıcılar, istismar riskini en aza indirmek için belirli hafifletme önlemleri ve önerilen eylemler sağladı.
PiiGAB, kullanıcılara M-Bus SoftwarePack 900S için en son yazılım güncellemesini yüklemelerini tavsiye etti. ABUS, etkilenen cihazlar için bir değiştirme kampanyası yürüterek kullanıcıları daha yeni modellerle değiştirmeye teşvik etti.
Mitsubishi Electric, MELSEC Serisi CPU modülleri için aygıt yazılımı sürümlerinin güncellenmesini önerdi.
CISA ayrıca bu güvenlik açıklarıyla ilişkili riskleri azaltmak için genel savunma önlemleri ve en iyi uygulamaları sunar.
Bu önlemler, en az ayrıcalıklı kullanıcı ilkesini izlemeyi, benzersiz ve güvenli parolalar belirlemeyi, ağ maruziyetini en aza indirmeyi, VPN’ler gibi güvenli uzaktan erişim yöntemlerini kullanmayı ve savunma önlemlerini uygulamadan önce uygun etki analizi ve risk değerlendirmeleri yapmayı içerir.
Ek olarak CISA, kuruluşların siber güvenlik duruşlarını geliştirmelerine yardımcı olmak için ICS web sayfasında kontrol sistemi güvenliği için önerilen uygulamalar, teknik bilgi belgeleri ve diğer kaynakları sağlar.