ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta Mitsubishi Electric GX Works3 mühendislik yazılımındaki birden çok güvenlik açığına ilişkin bir Endüstriyel Kontrol Sistemleri (ICS) uyarısı yayınladı.
Ajans, “Bu güvenlik açıklarının başarıyla kullanılması, yetkisiz kullanıcıların MELSEC iQ-R/F/L serisi CPU modüllerine ve MELSEC iQ-R serisi OPC UA sunucu modülüne erişmesine veya programları görüntülemesine ve yürütmesine izin verebilir.”
GX Works3, ICS ortamlarında kullanılan, denetleyiciden/denetleyiciye program yüklemek ve indirmek, yazılım ve donanım sorunlarını gidermek ve bakım işlemlerini gerçekleştirmek için bir mekanizma görevi gören bir mühendislik iş istasyonu yazılımıdır.
Geniş işlev yelpazesi, onları, yönetilen PLC’leri ele geçirmek için bu tür sistemlerden ödün vermek isteyen tehdit aktörleri için de çekici bir hedef haline getiriyor.
10 eksiklikten üçü, hassas verilerin açık metin olarak depolanmasıyla, dördü sabit kodlu bir kriptografik anahtarın kullanımıyla, ikisi sabit kodlu bir parolanın kullanımıyla ve biri de yetersiz korunan kimlik bilgileriyle ilgilidir.
Hataların en kritikleri olan CVE-2022-25164 ve CVE-2022-29830, 9.1 CVSS puanı taşır ve herhangi bir izin gerektirmeden CPU modülüne erişim sağlamak ve proje dosyaları hakkında bilgi almak için kötüye kullanılabilir.
CVE-2022-29831’i (CVSS puanı: 7.5) keşfeden Nozomi Networks, bir güvenlik PLC proje dosyasına erişimi olan bir saldırganın güvenlik CPU modülüne doğrudan erişmek için sabit kodlanmış parolayı kullanabileceğini ve potansiyel olarak endüstriyel süreçleri bozabileceğini söyledi.
Şirket, “Mühendislik yazılımı, endüstriyel kontrolörlerin güvenlik zincirinde kritik bir bileşeni temsil ediyor” dedi. “İçlerinde herhangi bir güvenlik açığı ortaya çıkarsa, saldırganlar, yönetilen cihazları ve sonuç olarak denetlenen endüstriyel süreci tehlikeye atmak için bunları kötüye kullanabilir.”
Açıklama, CISA’nın Mitsubishi Electric MELSEC iQ-R Serisinde uygun giriş doğrulama eksikliğinden (CVE-2022-40265, CVSS puanı: 8.6) kaynaklanan bir hizmet reddi (DoS) güvenlik açığının ayrıntılarını ortaya koymasıyla geldi.
CISA, “Bu güvenlik açığından başarıyla yararlanılması, kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış paketler göndererek hedef üründe hizmet reddi durumuna neden olmasına olanak verebilir.”
İlgili bir geliştirmede siber güvenlik ajansı, Horner Automation’ın Uzaktan Kompakt Denetleyici (RCC) 972’sini etkileyen ve en kritik olanı (CVE-2022-2641, CVSS puanı: 9,8) uzaktan kod yürütülmesine veya DoS durumu.