Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Üretim, Telekomünikasyon ve Sağlık Cihazlarında Yaygın Olarak Kullanılan Modüller
Mathew J. Schwartz (euroinfosec) •
13 Mayıs 2024
Araştırmacılar, endüstriyel, sağlık hizmetleri ve diğer operasyonel teknoloji ortamlarında kullanılan ekipmanlarda yaygın olarak kullanılan Cinterion hücresel modemlerinin kötü amaçlı SMS mesajları yoluyla ele geçirilebileceği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | OT Güvenliğini HCLTech ve Microsoft ile Güçlendirme
ABD Ulusal Güvenlik Açığı Veri Tabanı, Nesnelerin İnterneti cihaz üreticisi Telit Cinterion tarafından üretilen birden fazla modemin, “uzaktaki, kimliği doğrulanmamış bir saldırganın, özel hazırlanmış bir SMS mesajı göndererek hedeflenen sistemde rastgele kod çalıştırmasına izin verebilecek” bir güvenlik açığına sahip olduğunu söyledi.
Moskova merkezli siber güvenlik firması Kaspersky tarafından Kasım 2023’te yayınlanan bir güvenlik açığı uyarısına göre, “Bu kusur, uzaktaki saldırganların SMS yoluyla rastgele kod çalıştırmasına olanak tanıyarak, onlara modemin işletim sistemine benzeri görülmemiş bir erişim sağlıyor.” “Bu erişim aynı zamanda RAM ve flash belleğin manipülasyonunu da kolaylaştırarak, modemin işlevleri üzerinde tam kontrol elde etme potansiyelini artırıyor; üstelik kimlik doğrulama gerektirmeden veya cihaza fiziksel erişim gerektirmeden.”
NVD, güvenlik açığını 10 puanlık CVSS önem ölçeğinde 9,8 olarak derecelendirdi; çünkü uzaktaki bir saldırgan, güvenlik açığı bulunan bir cihazda rastgele kod yürütmek için bu güvenlik açığını kullanabilir, ekipmanın tam kontrolünü ele geçirebilir ve ardından OT ve BT ağlarına geçebilir.
Kaspersky, keşfettiği yedi sıfır gün kusurunu ilk olarak Şubat 2023’te Telit Cinterion’a doğrudan bildirdiğini söyledi; bunların arasında CVE-2023-47610 da bulunuyor. Bu kusurları modemin konumuna atıfta bulunarak “modemin SUPL mesaj işleyicileri içindeki bir yığın taşması güvenlik açığı” olarak tanımlıyor. Hizmetler.
Bu kusuru azaltmak için Kaspersky, bu modemlere sahip tüm cihazların kullanıcılarına, mümkün olduğunda SMS mesajlaşma özelliklerini devre dışı bırakmalarını, ayrıca cihazları özel erişim noktası adları veya APN’ler kullanarak “herhangi bir olası istismarın etkisini sınırlamak için dikkatle yapılandırılmış güvenlik ayarlarıyla koruma altına almalarını” öneriyor. “
Kaspersky, CVE-2023-47611’den CVE-2023-47616’ya kadar belirlenen diğer altı sıfır gün güvenlik açığının, cihazların mobil cihazlarda çalışmak üzere tasarlanmış Java tabanlı uygulamalar olan “midlet”leri veya MIDlet’leri nasıl işlediğini izlediğini söyledi. Kaspersky Cuma günü güvenlik açıkları hakkında daha fazla ayrıntı yayınladığında, “Saldırganlar dijital imza kontrollerini atlatarak ve yükseltilmiş ayrıcalıklarla yetkisiz kod yürütülmesine olanak sağlayarak bu uygulamaların bütünlüğünü tehlikeye atabilir.” dedi. “Bu kusur yalnızca veri gizliliği ve bütünlüğü açısından önemli riskler oluşturmakla kalmıyor, aynı zamanda daha geniş ağ güvenliği ve cihaz bütünlüğüne yönelik tehdidi de artırıyor.”
Kaspersky’nin baş güvenlik araştırmacısı Alexander Kozlov, kusurlardan yararlanarak “hem kullanıcı hem de üretici MIDlet’lerinin dijital imzasını çıkarmak, değiştirmek ve atlamak ve ayrıca herhangi bir kullanıcı MIDlet’inin yürütme ayrıcalıklarını üretici düzeyine yükseltmek mümkün” dedi. endüstriyel kontrol sistemleri için bilgisayar acil durum müdahale ekibi ve eski meslektaşı Sergey Anufrienko, Cumartesi günü Berlin’deki OffensiveCon güvenlik konferansında yaptıkları güvenlik açıklarına ilişkin bir sunumun özetinde.
Kaspersky, bu altı güvenlik açığını azaltmak için “MIDlet’ler için sıkı dijital imza doğrulamasının uygulanmasını, cihazlara fiziksel erişimin kontrol edilmesini ve düzenli güvenlik denetimleri ve güncellemeleri yapılmasını” öneriyor.
Kaspersky, yedi güvenlik açığının aşağıdaki modüllerin tüm sürümlerinde mevcut olduğunu söyledi:
- Cinterion BGS5 teli;
- Kinteryon teli EHS5/6/8;
- Kinteryon Teli PDS5/6/8;
- Kinteryon teli ELS61/81;
- Cinterion PLS62 teli.
Cinterion hücresel modemleri, imalat ve sağlık hizmetlerinin yanı sıra finansal hizmetler ve telekomünikasyon sektörleri de dahil olmak üzere bir dizi endüstriyel IoT ortamında kullanılmaktadır.
Yama çabalarının durumu veya hafifletme tavsiyesi hakkında yorum yapmak için Telit Cinterion’a hemen ulaşılamadı.
Kusurların düzeltilmesi, savunmasız bir Cinterion modülü içeren herhangi bir cihazın üreticisinin bir yama yayınlamasını gerektirecektir. Hastanelerdeki insülin monitörleri veya programlanabilir mantık denetleyicileri ve endüstriyel ortamlarda kullanılan denetleyici kontrol ve veri toplama sistemleri gibi bazı cihazların, cihaz üreticilerinin yamaları kullanıcılara göndermeden önce ilk olarak düzenleyiciler tarafından yeniden sertifikalandırılması gerekebilir.
Kaspersky ICS CERT başkanı Evgeny Goncharov, güvenlik açıklarının tedarik zinciri güvenliği riski oluşturduğunu söyledi. “Modemler genellikle diğer çözümlerle matryoshka tarzında entegre edildiğinden, bir satıcının ürünleri diğerinin üzerine istiflendiğinden, etkilenen son ürünlerin bir listesini derlemek zorlayıcıdır” dedi. “Etkilenen satıcıların riskleri yönetmek için kapsamlı çabalar sarf etmesi gerekiyor; risklerin azaltılması genellikle yalnızca telekom operatörleri açısından mümkün.”
İlk Cinterion modülleri, bir Alman makineden makineye veya M2M üreticisi olan Cinterion Wireless Modules tarafından geliştirildikleri 2008 yılına dayanmaktadır. Dijital güvenlik şirketi Gemalto, 2010 yılında Cinterion’u satın aldı ve ardından Fransız çok uluslu Thales Group, 2019’da Gemalto’yu satın aldı. 2022’de Irvine, Kaliforniya merkezli özel bir şirket olan Telit, Thales’e %25 hisse vermesi karşılığında Thales’in hücresel IoT ürün işini satın aldı. Telit Cinterion adlı yeni firmada.
Bunlar Cinterion modüllerinde bulunan ilk kritik güvenlik açıkları değil. 2022 yılında, IBM’in X-Force Red saldırgan güvenlik hizmetleri grubu, BGS5 de dahil olmak üzere birden fazla Cinterion modülünde, saldırganların ekipmanın kontrolünü ele geçirmek için kullanabileceği, CVE-2020-15858 olarak adlandırılan bir dizin geçiş kusurunun ayrıntılarını açıkladı (bkz.: IBM, Milyonlarca Thales Kablosuz IoT Modülünde Kusur Buldu).