Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bundan iki gün önce yayınlanan ICS güvenlik açığı uyarıları listesi dışında, Mitsubishi MELSEC denetleyici güvenlik açığı CVE-2023-1424 hakkında özel bir danışma belgesi yayınladı.
Cisco Talos, Mitsubishi MELSEC iQ-F FX5U programlanabilir mantık denetleyicisinde arabellek taşması durumundan kaynaklanan bu kritik güvenlik açığı CVE-2023-1424’ü buldu.
Mitsubishi’nin MELSEC PLC serisinin bir parçası olan etkilenen cihaz, bir işlemci, güç kaynağı, Ethernet ve G/Ç noktalarını bir araya getiriyor.
Güvenlik açığından yararlanmak, aygıtın MELSOFT Direct işlevine özel hazırlanmış bir ağ paketi göndermeyi içerir.
Bu arabellek taşması, MELSOFT Direct protokolünün ayrıştırma görevinde bir hizmet reddi durumuna yol açarak potansiyel olarak kötü niyetli aktörler tarafından uzaktan kod yürütülmesine olanak sağlayabilir.
Bu güvenlik açığı CVE-2023-1424’ün ortaya çıkardığı sorunu çözmek için Mitsubishi, etkilenen müşteriler için derhal yüklemeyi teşvik eden güncellemeler (sürüm 1.240 ve 1.260) yayınladı.
Endüstriyel Otomasyon, cihazların işleyişini gerçek zamanlı olarak düzenlemek için Kontrol Sistemlerine güvenir.
RTU’lar (Uzak Terminal Birimleri), PLC’ler (Programlanabilir Mantık Denetleyicileri) ve DCS’ler (Dağıtılmış Kontrol Sistemleri) gibi bu sistemler, kapalı döngü kontrol mekanizmalarını kullanır.
Mitsubishi MELSEC denetleyici güvenlik açığı: Özetle
Güvenlik açığıyla ilgili bir CISO Talos değerlendirme raporunda, “iQ-F FX5U, Mitsubishi’nin yerleşik bir işlemci, güç kaynağı, Ethernet ve 16 G/Ç noktası ile birlikte gelen MELSEC PLC donanım serisindeki bir tekliftir” dedi.
Kullanıcılar bu PLC’yi HTTP Sunucusu, FTP Sunucusu, FTP İstemcisi, MODBUS/TCP arabirimi ve diğer Mitsubishi’ye özgü protokoller gibi birden çok ağ hizmetini barındıracak şekilde yapılandırabilir.
23 Mayıs 2023’te Mitsubishi Electric Corporation, MELSEC Serisi CPU modülünde kritik bir güvenlik açığı açıkladı.
CVSS v3 puanı 10.0 olan güvenlik açığı, düşük saldırı karmaşıklığıyla uzaktan kullanılabildiği için önemli bir tehdit oluşturuyor.
Sorun, modülde bulunan klasik arabellek taşması güvenlik açıklarından kaynaklanmaktadır. Mitsubishi Electric Corporation, bu güvenlik açığını aktif olarak ele almaktadır ve olası riskleri azaltmak için acil müdahale önermektedir.
Mitsubishi güvenlik açığı uyarısı, “Uzaktaki bir saldırgan, özel hazırlanmış paketler göndererek hizmet reddine (DoS) neden olabilir veya hedef üründe kötü amaçlı kod çalıştırabilir” dedi.
Bununla birlikte, saldırganın kötü amaçlı kod yürütmek için ürünlerin iç yapısını anlaması gerekiyor” dedi.
Kötü amaçlı kodun çalıştırılması, ürünün iç yapısının derinlemesine anlaşılmasını gerektirse de etkisi önemli olabilir.
Mitsubishi MELSEC denetleyici güvenlik açığı risk değerlendirmesi
MELSEC Serisi CPU modülündeki Mitsubishi MELSEC denetleyici güvenlik açığından başarıyla yararlanılması ciddi sonuçlara yol açabilir. Uzak saldırganlar, hedeflenen ürünün normal çalışmasını bozabilir veya kötü amaçlı kod yürütebilir.
CISCO Talos raporunda, “Bu arabellek taşması durumu, MELSOFT Direct protokolünü ayrıştırmaktan sorumlu RTOS görevi içinde bir hizmet reddi durumuna yol açabilir ve potansiyel olarak düşmana hedeflenen cihazda uzaktan kod yürütme yeteneği verebilir” dedi.
Ürünün iç yapısının anlaşılması gerekliliği nedeniyle kötü amaçlı kod yürütmek zor olsa da, bu güvenlik açığıyla ilişkili potansiyel etki ve risk göz ardı edilmemelidir.
CISCO Talos raporu, “Kullanıcıların etkilenen bu ürünleri mümkün olan en kısa sürede güncellemeleri önerilir: Mitsubishi Electric Corp. MELSEC iQ-F FX5U, sürüm 1.240 ve 1.260”.
“Talos, denetleyicinin bu sürümlerinin bu güvenlik açığından yararlanabileceğini test etti ve onayladı, ancak Mitsubishi, danışma belgesinde 1.220 ve sonraki sürümlerin etkilendiğini de belirtti.”
Mitsubishi MELSEC denetleyici güvenlik açığı: Teknik ayrıntılar
Güvenlik açığı, FX5U-xMy/z ve FX5UC-xMy/z dahil MELSEC Serisinin belirli modellerini etkiler. Bu modellerin seri numarası 17X**** veya üzeri ve ürün yazılımı sürümü 1.220 ve üzeri olmalıdır.
Güvenlik açığı, giriş arabelleklerinin uygun boyut kontrolleri yapılmadan kopyalandığı klasik bir arabellek taşmasından kaynaklanmaktadır. Bu güvenlik açığından yararlanmak, hizmet reddi durumuna neden olabilir veya kötü amaçlı kodun yürütülmesine izin verebilir.
Güvenlik açığı CVE-2023-1424 olarak atanmıştır ve CVSS v3 taban puanı 10.0’dır.
Mitsubishi Electric, güvenlik açığını gidermek için ürün yazılımı sürüm 1.290’ı geliştirerek hızlı bir şekilde yanıt verdi.
Şirket, kullanıcılara MELSEC Serisi CPU modüllerini bu üretici yazılımı sürümüyle güncellemelerini tavsiye etti. Ek olarak şirket, bağlandığında yetkisiz erişimi önlemek için güvenlik duvarları veya sanal özel ağlar (VPN’ler) kullanmak gibi hafifletme önlemleri önerdi.
Ayrıca, etkilenen ürünün güvenli bir yerel alan ağı (LAN) ortamında çalıştırılması ve güvenlik duvarlarının güvenilmeyen ağlardan ve ana bilgisayarlardan erişimi engelleyecek şekilde yapılandırılması önerildi.
Güvenilmeyen ana bilgisayarlardan erişimi kısıtlamak için IP filtresi işlevinin kullanılması ve savunmasız ürünlere bağlı LAN’lara fiziksel erişimin kısıtlanması da tavsiye edilir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), cisa.gov/ics adresindeki resmi ICS web sayfasında bulunan kontrol sistemleri güvenlik en iyi uygulamalarına bağlı kalmayı daha da teşvik eder.