Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Endüstriyel Kontrol Sistemlerindeki (ICS) güvenlik sorunlarını, güvenlik açıklarını ve potansiyel istismarları ele alan üç öneri yayınladı. Bu tavsiyeler, ICS alanında farkındalığı ve hazırlığı artırmak için zamanında bilgi sunar.
CISA, kullanıcılara ve yöneticilere, teknik ayrıntılar ve etkili azaltma stratejileri hakkında bilgi edinmek için yakın zamanda yayınlanan CISA ICS tavsiyelerini kapsamlı bir şekilde incelemelerini tavsiye etti.
ICSA-24-004-01 Rockwell Automation FactoryTalk Aktivasyonu
Rockwell Automation’ın FactoryTalk Etkinleştirme Yöneticisindeki kritik güvenlik açıklarına ilişkin CISA ICS tavsiyesi, 9,8 CVSS v3 puanına sahiptir ve düşük saldırı karmaşıklığıyla uzaktan kullanılabilir. Bunlar, etkilenen sistemler için önemli bir tehdit oluşturan sınır dışı yazma sorunlarından kaynaklanmaktadır.
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, arabellek taşmasına yol açarak tüm sisteme yetkisiz erişime izin verebilir. Bu risklerin ciddiyeti, acil azaltma çabalarının önemini vurgulamaktadır.
Güvenlik Açığı Genel Bakış
- Etkilenen ve Rockwell Automation tarafından kullanılan Wibu-Systems ürünleri, SOCKS5 proxy yapılandırması yoluyla yapılan arabellek taşması saldırısına karşı savunmasızdır. Bu, kötü niyetli bir proxy tarafından istismar edilebilir ve CVSS v3.1’in 9,8 temel puanıyla sonuçlanabilir.
- Aynı ürünlerdeki Wibu CodeMeter Çalışma Zamanı ağ hizmeti, uzaktaki bir saldırganın Uzaktan Kod Yürütme (RCE) gerçekleştirmesine ve tam erişim elde etmesine olanak tanıyan bir yığın arabellek taşması güvenlik açığı içerir. Bu güvenlik açığının CVSS v3.1 temel puanı 7,5’tir.
CISA ICS Tavsiyesine Göre Azaltmalar
Kullanıcılardan aşağıdaki azaltıcı önlemleri uygulamaları istenmektedir:
- Yamaları içeren FactoryTalk Aktivasyon Yöneticisi 5.01’e yükseltin.
- Rockwell Automation’un önerilen en iyi güvenlik uygulamalarını takip edin.
CISA, ağ açıklarının en aza indirilmesi, kontrol sistemi ağlarının izole edilmesi ve Sanal Özel Ağlar (VPN’ler) gibi güvenli uzaktan erişim yöntemlerinin kullanılması gibi savunma önlemlerini önerir.
Sonuç olarak, kuruluşlara, Endüstriyel Kontrol Sistemleri (ICS) varlıklarını potansiyel istismarlara karşı proaktif bir şekilde savunmak için önerilen siber güvenlik stratejilerinin uygulanmasına öncelik vermeleri şiddetle tavsiye edilir.
CISA ICS Advisory, sosyal mühendislik saldırılarına karşı dikkatli olmanın önemini vurguluyor ve daha fazla analiz ve korelasyon için şüpheli etkinliklerin rapor edilmesini teşvik ediyor. İlk yayın itibarıyla, bu güvenlik açıklarını hedef alan herhangi bir kamuya açık istismar bildirilmemiştir.
ICSA-24-004-02 Mitsubishi Electric Fabrika Otomasyon Ürünleri
Mitsubishi Electric, birden fazla Fabrika Otomasyon Ürününde kritik güvenlik açıkları tespit ederek CISA tarafından tavsiyelerin yayınlanmasına yol açtı. CVSS v3 puanı 7,5 olan bu güvenlik açıkları, düşük saldırı karmaşıklığıyla uzaktan kullanılabilir.
GT SoftGOT2000, OPC UA Veri Toplayıcı, MX OPC Sunucusu UA ve FX5-OPC dahil olmak üzere etkilenen ürünlerde Gözlemlenebilir Zamanlama Tutarsızlığı, Çift Serbestlik ve Uyumsuz Tür Kullanarak Kaynağa Erişim (“Tür Karışıklığı”) güvenlik açıkları görülüyor.
Bu güvenlik açıklarının başarıyla kullanılması, ürün içindeki hassas bilgilerin ifşa edilmesine veya hizmet reddi (DoS) durumuna yol açabilir.
Güvenlik Açığı Genel Bakış
- Gözlemlenebilir Zamanlama Tutarsızlığı CWE-208: RSA şifre çözmede gözlemlenebilir bir zamanlama tutarsızlığı güvenlik açığı, saldırganların Bleichenbacher tarzı bir saldırıdan yararlanarak şifreli metnin şifresini çözmesine olanak tanır. CVE-2022-4304’e CVSS v3.1 temel puanı 5,9 olarak atanmıştır.
- Çift Ücretsiz CWE-415: Ürünler, bir PEM dosyasını okurken potansiyel olarak bir DoS durumuna yol açabilen çift serbest güvenlik açığı içerir. CVE-2022-4450’ye CVSS v3.1 temel puanı 7,5 olarak atanmıştır.
- Uyumsuz Tür Kullanarak Kaynağa Erişim (‘Tür Karışıklığı’) CWE-843: X.400 adresi işlemedeki tür karışıklığı güvenlik açığı, bir saldırganın hassas bilgileri ifşa etmesine veya özel hazırlanmış bir sertifika iptal listesi (CRL) yükleyerek DoS’a neden olmasına olanak tanır. CVE-2023-0286’ya CVSS v3.1 temel puanı 7,4 olarak atanmıştır.
CISA ICS Tavsiyesine Göre Azaltma
Mitsubishi Electric, kullanıcıların ürünlerini belirli sürümlere güncellemelerini tavsiye ediyor ve etkilenen her ürün için ayrıntılı etki azaltma önlemleri sunuyor. Azaltıcı önlemler arasında önerilen güncellemelerin uygulanması, güvenilmeyen sertifika iptal listelerinin yüklenmesinin önlenmesi ve ağ güvenliği önlemlerinin uygulanması yer alır.
Sonuç olarak kuruluşların, Endüstriyel Kontrol Sistemleri (ICS) varlıklarını potansiyel istismarlara karşı korumak için önerilen siber güvenlik stratejilerini takip etmeleri ve azaltıcı önlemleri uygulamaları istenmektedir.
CISA ICS Tavsiyesi proaktif savunmanın, uygun etki analizinin ve risk değerlendirmesinin önemini vurgulamaktadır. İlk yayın itibarıyla, özellikle bu güvenlik açıklarını hedef alan bilinen hiçbir kamu istismarı CISA’ya bildirilmemiştir.
ICSA-23-348-15 Unitronics Vision ve Samba Serisi (Güncelleme A)
Unitronics, CISA ICS Advisory tarafından açıklandığı gibi CVSS v3 puanı 9,8 olan kritik bir güvenlik sorunuyla karşı karşıyadır. Bir Kaynağın Güvenli Olmayan Varsayılanla Başlatılması olarak kategorize edilen bu güvenlik açığı, uzaktan istismar edilebilirliği, düşük saldırı karmaşıklığı ve bilinen genel istismarların varlığıyla karakterize edilir.
Etkilenen ekipmanlar arasında Unitronics’in Vision Serisi ve Samba Serisi yer alıyor ve varsayılan yönetici şifrelerinin kullanılması nedeniyle idari kontrol için potansiyel bir tehdit oluşturuyor.
Bu güvenlik açığından yararlanılması, kimliği doğrulanmamış bir saldırganın, varsayılan yönetici parolalarını kullanarak Unitronics Vision ve Samba serisi sistemler üzerinde yönetim denetimini ele geçirmesine olanak sağlayabilir.
Güvenlik Açığı Genel Bakış
Güvenli Olmayan Varsayılan CWE-1188 ile Bir Kaynağın Başlatılması: Unitronics’in Vision Serisi PLC’leri ve HMI’ları varsayılan yönetici şifrelerini kullanarak ağ erişimi olan yetkisiz kişilerin yönetim kontrolünü ele geçirmesine olanak tanır. Bu güvenlik açığına CVE-2023-6448 atanmıştır ve CVSS v3.1 temel puanı 9,8’dir.
CISA ICS Tavsiyesine Göre Azaltmalar
- Unitronics, VisiLogic 9.9.00 sürümünde bu güvenlik açığını gidererek kullanıcıları derhal en son sürüme güncellemeye çağırdı. Bunu yapamayanlar için kuruluşlara tüm varsayılan şifreleri değiştirmeleri, PCOM özellikli soketlerde şifreler ayarlamaları, SDW10 rollerini kullanarak uzaktan etkinleştirilmiş PCOM işlemlerini kontrol etmeleri ve PLC’nin açık internet bağlantısını kesmeleri tavsiye edilir. Güvenlik duvarlarının, VPN’lerin uygulanması ve güvenli hücresel tabanlı uzun mesafeli aktarım cihazlarının kullanılması önerilir.
- CISA ICS Advisory, erişim için bir izin verilenler listesi kullanmanın, hızlı kurtarma için mantığı ve yapılandırmaları yedeklemenin, alternatif TCP bağlantı noktalarını dikkate almanın ve cihazların en son sürümlerle güncellenmesini sağlamanın önemini vurgulamaktadır. Üçüncü taraf satıcılarla işbirliği yapılması ve önerilen karşı önlemlerin benimsenmesi de teşvik edilmektedir.
Bu kritik güvenlik açığına yanıt olarak su idareleri, EPA, WaterISAC ve Amerikan Su İşleri Birliği’nin sağladığı özel rehberlikle, gelişmiş siber güvenlik için CISA’nın araçlarına ve kaynaklarına yönlendirilmektedir.
Bu güvenlik açığını hedef alan bilinen kamuya açık istismarların CISA’ya rapor edilmesi, daha fazla dikkat gösterilmesini ve savunma önlemlerinin derhal uygulanmasını gerektiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.