Kritik güvenlik açıkları, saldırganların diğer hain faaliyetlerin yanı sıra cihazın kontrolünü ele geçirmek ve su kaynağını bozmak gibi önemli sorunlara neden olmasına izin verdi.
Siber güvenlik araştırma şirketi Zero Science Lab tarafından hazırlanan bir rapora göre, pompa sistemleri ve otomatik kontroller konusunda uzmanlaşmış ABD merkezli bir şirket olan Propump and Controls’un Osprey Pompa Denetleyicisinde güvenlik açıkları olduğu bulundu.
Raporda, güvenlik açıklarının bilgisayar korsanlarının diğer hain faaliyetlerin yanı sıra cihazın kontrolünü uzaktan ele geçirme ve su kaynağını bozma gibi önemli sorunlara neden olabileceği belirtildi.
CISA, Krstic tarafından Osprey Pompa Denetleyicisinde bulunan güvenlik açıklarını açıklayan bir danışma belgesi yayınladı ve her bir kusuru açıklayan on ayrı danışma belgesi de Zero Science Lab’ın web sitesinde yayınlandı. Etkilenen ürün, pompalama sistemlerinde ve otomatik kontrollerde kullanılan Osprey Pompa Denetleyicisi sürüm 1.01’dir. Aşağıdaki güvenlik açıkları keşfedildi:
- Yetersiz entropi CWE-331: Öngörülebilir bir zayıf oturum belirteci oluşturma algoritması, kimlik doğrulama ve yetkilendirme atlamasına yardımcı olarak bir tehdit aktörünün oturum kimliğini tahmin ederek bir oturumu ele geçirmesine ve ürüne yetkisiz erişim elde etmesine olanak sağlayabilir. CVE-2023-28395 bu güvenlik açığına atanmıştır.
- Hassas sorgu dizeleri CWE-598 ile GET istek yönteminin kullanılması: Kimliği doğrulanmamış bir dosya ifşası, siber suçluların etkilenen cihazı rastgele dosyaları ve hassas sistem bilgilerini ifşa etmeye zorlamasına olanak sağlayabilir. CVE-2023-28375 bu güvenlik açığına atanmıştır.
- Sabit kodlu parola kullanımı CWE-259: Web yönetimi arayüzü yapılandırmasına, sabit kodlu bir parolaya sahip gizli bir yönetici hesabı yoluyla tam olarak erişilebilir. Ancak bu hesap, uygulamanın Kullanıcı Adları ve Parolalar menüsünde görülemez ve cihazın herhangi bir normal çalışmasıyla parolası değiştirilemez. CVE-2023-28654 bu güvenlik açığına atanmıştır.
- Bir OS komutunda kullanılan özel öğelerin uygun olmayan şekilde etkisiz hale getirilmesi (“OS komut enjeksiyonu”) CWE-78: Güvenlik açığı, bir saldırganın HTTP POST veya GET parametreleri aracılığıyla rasgele kabuk komutları enjekte etmesine ve yürütmesine yol açabilecek, kimliği doğrulanmamış OS komut enjeksiyonuna izin verebilir. CVE-2023-27886 Ve CVE-2023-27394 bu güvenlik açıklarına atanmıştır.
- Web sayfası oluşturma sırasında girdinin uygun olmayan şekilde etkisiz hale getirilmesi (‘Siteler arası komut dosyası oluşturma’) CWE-79: Bir GET parametresine iletilen girdiler, kullanıcıya geri gönderilmeden önce uygun şekilde temizlenmez; bu, saldırganların bir etkilenen bir site bağlamında kullanıcının tarayıcı oturumu. CVE-2023-28648 bu güvenlik açığına atanmıştır.
- Alternatif bir yol veya kanal kullanarak kimlik doğrulamayı atlama CWE-288: Bu, yetkisiz bir kullanıcının kimlik doğrulamayı atlamasına ve alternatif bir yol veya kanal üzerinden bir hesap oluşturarak sisteme erişmesine olanak sağlayabilir. CVE-2023-28398 bu güvenlik açığına atanmıştır.
- Siteler arası istek sahteciliği (CSRF) CWE-352: HTTP istekleri, kullanıcılar tarafından herhangi bir doğrulama kontrolünden geçmeden eylemler gerçekleştirmek için kullanılabilir. Bu, oturum açmış bir kullanıcının zararlı bir web sitesini ziyaret etmesi durumunda yetkisiz bir kişinin yönetici ayrıcalıklarına sahip eylemler gerçekleştirebileceği bir senaryoya yol açabilir. CVE-2023-28718 bu güvenlik açığına atanmıştır.
Security Week’e göre, Zero Science Lab’ın kurucusu ve baş bilgi güvenliği mühendisi Gjoko Krstic, bulgularını satıcıya, ayrıca ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) ve Carnegie Mellon Üniversitesi’nin Güvenlik Açığı Bilgi ve Koordinasyonuna bildirmeye çalıştı. Ortam (VINCE), ancak satıcı yanıt vermedi ve güvenlik açıkları büyük olasılıkla yama uygulanmadı.
Krstiç’e göre, ağı Zero Science Lab tarafından değerlendirilen müşterinin durumu da dahil olmak üzere düzinelerce denetleyici internette açığa çıkıyor. Bu, saldırganların denetleyiciye erişebileceği ve denetleyicinin uygulandığı yere bağlı olarak VFD’leri manipüle edebileceği, basıncı değiştirebileceği veya su kaynağını kesebileceği anlamına gelir.
Sonuç olarak, ProPump ve Controls’ün Osprey Pompa Denetleyicisindeki güvenlik açıklarının keşfi, endüstriyel kontrol sistemlerinin güvenliği konusunda endişeleri artırıyor. Şirketler, önemli kesintilere ve hasarlara yol açabilecek olası saldırıları önlemek için ürünlerinin güvenli olduğundan ve güvenlik açıklarının zamanında ve etkili bir şekilde ele alındığından emin olmalıdır.
Ancak satıcı bu durumda yanıt vermediğinden, Osprey Pompa Denetleyicisi kullanıcılarının sistemlerini olası saldırılardan korumak için CISA danışma belgesinde belirtildiği gibi gerekli önlemleri almaları gerekir.
ALAKALI HABERLER
- Hareket eden köprülere fiziksel olarak zarar veren güvenlik açığı
- Rus Bina Kontrolörleri Uzaktan Hacklenebilir
- Endüstriyel Kontrol Sistemleri kusurları, bilgisayar korsanlarının kapıları açmasına izin verir
- Endüstriyel ortamlarda programlanabilir mantık denetleyicileri kullanma
- OT Ağlarına Fidye Yazılımı Yüklemek İçin Hacklenen IoT Cihazları