Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yakın zamanda Endüstriyel Kontrol Sistemleri (ICS) hakkında önemli bir tavsiye belgesi yayınladı. CVSS v4 7.1 ile işaretlenen CISA One Endüstriyel Kontrol Sistemleri Tavsiyesi, Advantech tarafından üretilen WebAccess/SCADA sistemiyle ilgili endişeleri vurgulamaktadır.
Tanımlanan güvenlik açığı, kötü amaçlı SQL kodu enjekte ederek veritabanlarındaki güvenlik açıklarından yararlanan popüler bir siber saldırı tekniği olan SQL Injection ile ilgilidir.
Saldırganlar, SQL Injection aracılığıyla yetkisiz SQL komutlarını yürütmek için giriş alanlarını veya parametrelerini manipüle ederek hassas verilere erişme, kayıtları değiştirme veya veritabanı sunucusunun kontrolünü ele geçirme potansiyeline sahiptir.
Tek Endüstriyel Kontrol Sistemleri Danışmanlığı, ICS sistemlerini etkileyen mevcut güvenlik sorunları, güvenlik açıkları ve potansiyel istismarlar hakkında önemli güncellemeler görevi görerek ilgili taraflara ve paydaşlara zamanında bilgiler sunar.
CISA'nın Tek Endüstriyel Kontrol Sistemleri Tavsiyesinin Çözümü
Tanımlanan WebAccess/SCADA güvenlik açığı, başarılı bir şekilde kullanılırsa, kimliği doğrulanmış bir saldırgana uzak bir veritabanını okuma veya değiştirme yeteneği vererek sistem bütünlüğü ve veri gizliliği açısından önemli riskler oluşturabilir.
Etkilenen ürün olan Advantech'in WebAccess/SCADA'sı, özellikle de 9.1.5U sürümü, imalat, enerji ve su yönetim sistemleri gibi kritik altyapı sektörlerinde yaygın olarak kullanılan tarayıcı tabanlı bir SCADA yazılımıdır. Güvenlik açığı, genellikle SQL Enjeksiyonu olarak bilinen bir SQL komutunda kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesini içeren CWE-89'dan kaynaklanmaktadır.
Bu kusur, kötü niyetli aktörlerin kullanıcı tarafından kontrol edilebilen girişler yoluyla SQL komutlarını manipüle etmesine, potansiyel olarak güvenlik önlemlerini atlamasına veya arka uç veritabanında yetkisiz komutlar yürütmesine olanak tanır ve sistem güvenliği için ciddi bir tehdit oluşturur.
Etkilenen ürün, genel merkezi Tayvan'da olmak üzere Doğu Asya, Avrupa ve Amerika Birleşik Devletleri dahil olmak üzere çeşitli bölgelerde yaygın olarak kullanılıyor. CISA'nın Prześlij Komentarz tarafından yazılan halka açık bir Kavram Kanıtı'nı (PoC) keşfetmesi, bu güvenlik açığını derhal gidermenin aciliyetinin altını çiziyor.
Arka Plan ve Araştırmacı Görüşleri
Advantech, belirlenen WebAccess/SCADA güvenlik açığına yanıt olarak WebAccess/SCADA'nın 9.1.6 veya daha yüksek bir sürüme güncellenmesini tavsiye ederek olası riskleri azaltmak için yamaların derhal uygulanmasının kritikliğini vurguluyor.
CISA, endüstriyel kontrol sistemlerinde istismar riskini en aza indirmek için savunma önlemlerinin uygulanmasının önemini vurgulamaktadır. Bu önlemler arasında, kontrol cihazlarının ağa maruz kalmasının kısıtlanması, bunlara internetten erişilememesinin sağlanması ve ayrıca kontrol sistemi ağlarını diğer iş ağlarından yalıtmak için güvenlik duvarları aracılığıyla sağlam ağ bölümlendirmesinin kullanılması yer alıyor.
Ek olarak CISA, Sanal Özel Ağlar (VPN'ler) gibi güvenli uzaktan erişim yöntemlerinin kullanılmasını ve VPN yazılımının düzenli olarak güncel tutulmasını önerir. CISA, savunma önlemlerini uygulamadan önce, bunların etkinliğini sağlamak için kapsamlı etki analizleri ve risk değerlendirmeleri yapılmasının gerekliliğini vurgulamaktadır.
Ayrıca CISA, endüstriyel kontrol sistemi varlıklarını siber tehditlere karşı güçlendirmeyi amaçlayan teknik belgeler ve kılavuz belgeler de dahil olmak üzere web sitesinde ek kaynaklar ve en iyi uygulamaları sağlar. Şüpheli faaliyetlerle veya potansiyel siber güvenlik olaylarıyla karşılaşan kuruluşların bunları CISA'ya bildirmeleri teşvik edilerek işbirliği ve çevrimiçi tehditlere karşı kolektif bir yanıt teşvik edilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.