ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu hafta, çok sayıda kritik altyapı sektöründeki kuruluşlar tarafından kullanılan ve bazıları yamalanmamış olan sekiz endüstriyel kontrol sisteminde (ICS) toplam 49 güvenlik açığı için tavsiyeler yayınladı.
Kritik altyapı sektörlerindeki kuruluşların siber güvenliği dikkate alma ihtiyacı artıyor. ICS ve operasyonel teknoloji (OT) ortamları artık bir zamanlar olduğu gibi hava boşluklu, bölümlere ayrılmış değil ve İnternet üzerinden giderek daha fazla erişilebilir durumda. Sonuç olarak, hem ICS hem de OT ağları, hem ulus-devlet aktörleri hem de finansal olarak motive olmuş tehdit grupları için giderek daha popüler hedefler haline geldi.
CISA’nın danışma belgesindeki güvenlik açıklarının birçoğunun uzaktan kullanılabilir olması, düşük saldırı karmaşıklığı içermesi ve saldırganların etkilenen sistemlerin denetimini ele geçirmesine, ayarları manipüle etmesine ve değiştirmesine, ayrıcalıkları artırmasına, güvenlik denetimlerini atlamasına, verileri çalmasına ve sistemleri çökertmesine izin verdiği düşünülürse, bu talihsiz bir durumdur. Önem düzeyi yüksek güvenlik açıkları Siemens, Rockwell Automation, Hitachi, Delta Electronics, Keysight ve VISAM ürünlerinde mevcuttur.
CISA danışmanlığı, Avrupa Birliği’nin havacılık, deniz, demiryolu ve karayolu taşımacılığı kurumları tarafından kullanılan OT sistemlerine potansiyel fidye yazılımı saldırıları konusunda uyarıda bulunan, ulaşım sektörüne yönelik tehditler hakkında bir raporuyla aynı zamana denk geldi. CISA’nın tavsiye belgesindeki savunmasız sistemlerin en azından bir kısmı, ulaşım sektöründeki kuruluşlarla da ilgilidir.
Düşük Karmaşıklık, Yüksek Etkili Güvenlik Açıkları
CISA’nın danışma belgesindeki 49 güvenlik açığından yedisi Siemens’in RUGGEDCOM APE1808 teknolojisindedir ve şu anda bir düzeltmesi yoktur. Güvenlik açıkları, bir saldırganın güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltmesine veya sistemi çökertmesine olanak tanır. Dünya çapında çok sayıda kritik altyapı sektöründeki kuruluşlar, ürünü ticari uygulamaları barındırmak için kullanıyor.
Siemens’in Scalance W-700 cihazlarına entegre edilmiş çeşitli üçüncü taraf bileşenlerinde on yedi başka kusur daha var. Kimyasal, enerji, gıda, tarım ve imalat sektörleri dahil olmak üzere çok sayıda kritik altyapı sektöründeki kuruluşlar ürünü kullanıyor. Siemens, ürünü kullanan kuruluşları yazılımlarını v2.0 veya sonraki bir sürüme güncellemeye ve cihazlara ağ erişimini korumak için kontroller uygulamaya çağırdı.
Yeni açıklanan güvenlik açıklarından on üçü, enerji sektöründeki kuruluşların kritik sistemlerin sağlığını izlemek için kullandığı bir teknoloji olan Delta Electronic’in InfraSuite Device Master’ını etkiliyor. Saldırganlar, hizmet reddi koşullarını tetiklemek veya gelecekteki bir saldırıda kullanılabilecek hassas verileri çalmak için güvenlik açıklarından yararlanabilir.
CISA’nın tavsiye belgesinde yer alan ve ürünlerinde birden çok güvenlik açığı bulunan diğer satıcılar, Vbase Automation teknolojisi yedi kusuru açıklayan Visam ve kritik imalat sektöründe kullanılan ThinManager ürününde üç kusur bulunan Rockwell Automaton’dur. Keysight, iletişim ve devlet kurumları için Keysight N6845A Coğrafi Konum Sunucusunda bir güvenlik açığına sahipti ve Hitachi, Energy GMS600, PWC600 ve Relion ürünlerinde önceden bilinen bir güvenlik açığı hakkında bilgileri güncelledi.
Bu, CISA’nın kritik altyapı sektörlerindeki kuruluşları endüstriyel ve operasyonel teknoloji ortamlarında kullandıkları sistemlerdeki ciddi güvenlik açıkları konusunda son haftalarda ikinci kez uyarmasıdır. Ocak ayında ajans, aralarında Siemens, Hitachi, Johnson Controls, Panasonic ve Sewio’nun da bulunduğu 12 ICS satıcısının ürünlerindeki güvenlik açıkları hakkında benzer bir uyarı yayınladı. Mevcut kusur setinde olduğu gibi, önceki danışma belgesindeki güvenlik açıklarının çoğu, tehdit aktörlerinin sistemleri ele geçirmesine, ayrıcalıkları yükseltmesine ve ICS ve OT ayarlarında başka tahribata yol açmasına da izin verdi.
Hedef Noktasında OT Sistemleri
Bu arada, Avrupa Birliği Siber Güvenlik Ajansı’nın (ENISA) bu hafta ulaşım sektörüne yönelik siber tehditler hakkındaki raporu, Ocak 2021 ile Ekim arasında AB ulaşım sektöründe kamuya bildirilen 98 olayın analizine dayanarak, OT sistemlerine yönelik potansiyel fidye yazılımı saldırıları konusunda uyarıda bulundu. 2022.
Analiz, finansal amaçlarla hareket eden siber suçluların saldırıların yaklaşık %47’sinden sorumlu olduğunu gösterdi. Bu saldırıların çoğu (%38) fidye yazılımıyla ilgiliydi. Diğer yaygın motivasyonlar arasında operasyonel kesintiler, casusluk ve hacktivist grupların ideolojik saldırıları yer alıyor.
OT sistemleri bazen bu saldırılarda ikincil olarak hasar görmüş olsa da, ENISA araştırmacıları analiz ettiği 98 olayda bunlara yönelik herhangi bir saldırı kanıtı bulamadı. ENISA raporunda, “Yalnızca OT sistemleri ve ağların etkilendiği durumlar, ya tüm ağların etkilendiği ya da güvenlik açısından kritik BT sistemlerinin kullanılamadığı zamanlardı.” Ancak ajans bunun değişmesini bekliyor. “Fidye yazılımı grupları, öngörülebilir bir gelecekte büyük olasılıkla OT operasyonlarını hedef alacak ve kesintiye uğratacak.”
Avrupa siber güvenlik ajansının raporu, ICS ve OT sistemlerini ve ağlarını hedefleyen Kostovite, Petrovite ve Erythrite olarak izlenen fidye yazılımı aktörleri ve diğer yeni tehdit grupları konusunda uyarıda bulunan daha önceki bir ENISA analizine işaret ediyor. Rapor ayrıca saldırganların ICS ortamlarına artan ilgisinin işaretleri olarak Industroyer, BlackEnergy, CrashOverride ve InController gibi ICS’ye özgü kötü amaçlı yazılımların devam eden gelişiminin altını çizdi.
ENISA raporunda, “Genel olarak, düşmanlar, gelecekteki amaçlar için OT ağları hakkında bilgi toplamak için hedeflerinden ödün vermek için zaman ve kaynak ayırmaya isteklidir.” “Şu anda, bu alandaki çoğu düşman, stratejik hedefler olarak ön konumlandırmaya ve bilgi toplamaya kesintiye göre öncelik veriyor.”