Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yöneticiler ve güvenlik profesyonellerinin yeni yayımlanan altı Endüstriyel Kontrol Sistemi (ICS) önerisini incelemeleri için bir eylem çağrısı yayınladı.
11 Haziran 2024’te yayımlanan bu öneriler, ICS’yi etkileyen güncel güvenlik sorunları, güvenlik açıkları ve kötüye kullanımlar hakkında kritik bilgiler sağlıyor.
CISA tavsiyeleri, büyük tedarikçilerin geniş bir ürün yelpazesini kapsamakta olup, siber güvenlik uygulamalarında zamanında güncellemelerin ve dikkatli olmanın önemini vurgulamaktadır.
Aşağıda yeni yayımlanan altı Endüstriyel Kontrol Sistemi (ICS) önerisi yer almaktadır:
1. Rockwell Automation ControlLogix, GuardLogix ve CompactLogix
Rockwell Automation’ın ControlLogix, GuardLogix ve CompactLogix kontrolörlerinin kritik bir güvenlik açığına sahip olduğu belirlendi (CVSS v4 puanı: 8,3).
Her zaman yanlış bir kontrol akışı uygulamasıyla karakterize edilen güvenlik açığının saldırı karmaşıklığı düşüktür ve etkilenen cihazların kullanılabilirliğini tehlikeye atabilir.
Etkilenen Ürünler
Rockwell Automation aşağıdaki kontrolörlerin etkilendiğini bildiriyor:
- ControlLogix 5580: V34.011
- GuardLogix 5580: V34.011
- 1756-EN4: V4.001
- CompactLogix 5380: V34.011
- Kompakt GuardLogix 5380: V34.011
- CompactLogix 5480: V34.011
Her Zaman Yanlış Kontrol Akışı Uygulaması (CWE-670) – Bu güvenlik açığı (CVE-2024-5659), mDNS bağlantı noktasına anormal paketler gönderilerek kullanılabilir ve aynı ağdaki etkilenen tüm denetleyicilerde büyük, kurtarılamaz bir hataya yol açabilir.
CVSS v3.1 taban puanı 7,4, CVSS v4 taban puanı ise 8,3’tür.
2. PI Web API’si Vardı
AVEVA’nın PI Web API’sinin kritik bir güvenlik açığına sahip olduğu belirlendi (CVSS v4 puanı: 8,4).
Düşük saldırı karmaşıklığıyla uzaktan yararlanılabilen bu güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasını içerir ve bir saldırganın uzaktan kod yürütmesine olanak verebilir.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Etkilenen Ürünler
PI sistemine yönelik bir RESTful arayüzü olan AVEVA PI Web API’nin aşağıdaki sürümleri etkilenir:
- AVEVA PI Web API: Sürüm 2023 ve öncesi
Güvenilmeyen Verilerin Seri Durumundan Çıkarılması (CWE-502) – CVE-2024-3468 olarak tanımlanan bu güvenlik açığı, API XML içe aktarma işlevini kullanmak üzere sosyal olarak tasarlanmış etkileşimli bir kullanıcının ayrıcalıkları altında PI Web API ortamında kötü amaçlı kod yürütülmesine izin verir. saldırgan tarafından sağlanan içeriğe sahip.
CVSS v3.1 taban puanı 7,6, CVSS v4 taban puanı ise 8,4’tür.
3. HAD PI Varlık Çerçevesi İstemcisi
AVEVA’nın PI Asset Framework Client’ında kritik bir güvenlik açığı (CVSS v4 puanı: 7.0) belirlendi.
Saldırı karmaşıklığı düşük olan bu güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasını içerir ve kötü amaçlı kod yürütülmesine izin verebilir.
Etkilenen Ürünler
Fiziksel veya mantıksal nesneleri modellemeye yönelik bir araç olan AVEVA PI Asset Framework Client’ın aşağıdaki sürümleri etkilenir:
- PI Varlık Çerçevesi İstemcisi: 2023
- PI Asset Framework İstemcisi: 2018 SP3 P04 ve öncesi
Güvenilmeyen Verilerin Seriden Çıkarılması (CWE-502) – CVE-2024-3467 olarak tanımlanan bu güvenlik açığı, saldırgan tarafından sağlanan XML’i içe aktarmak üzere sosyal olarak tasarlanmış etkileşimli bir kullanıcının ayrıcalıkları altında PI System Explorer ortamında kötü amaçlı kod yürütülmesine izin verir.
CVSS v3.1 taban puanı 7,3, CVSS v4 taban puanı ise 7,0’dır.
4. Intrado 911 Acil Durum Ağ Geçidi
Intrado’nun 911 Acil Durum Ağ Geçidinde (EGW) kritik bir güvenlik açığı (CVSS v4 puanı: 10,0) tespit edildi.
Düşük saldırı karmaşıklığıyla uzaktan yararlanılabilen bu güvenlik açığı, SQL enjeksiyonunu içerir ve bir saldırganın kötü amaçlı kod yürütmesine, verileri sızdırmasına veya veritabanını değiştirmesine olanak verebilir.
Etkilenen Ürünler
Intra do’nun 911 Acil Durum Ağ Geçidinin aşağıdaki sürümleri etkilenir:
- 911 Acil Durum Ağ Geçidi (EGW): Tüm versiyonlar
SQL Komutunda Kullanılan Özel Öğelerin Uygunsuz Nötrleştirilmesi (‘SQL Enjeksiyonu’) (CWE-89) – CVE-2024-1839 olarak tanımlanan bu güvenlik açığı, Intrado’nun 911 Acil Durum Ağ Geçidinin oturum açma formunu etkiler.
Bir saldırganın kötü amaçlı kod yürütmesine, veri sızdırmasına veya veritabanını manipüle etmesine izin verebilecek, kimliği doğrulanmamış kör zaman tabanlı SQL enjeksiyonuna karşı savunmasızdır.
CVSS v3.1 ve v4 temel puanlarının her ikisi de 10,0’dır.
5. Schneider Electric APC Easy UPS Çevrimiçi İzleme Yazılımı (Güncelleme A)
Schneider Electric’in APC Easy UPS Çevrimiçi İzleme Yazılımında kritik bir güvenlik açığı (CVSS v3 puanı: 9,8) belirlendi.
Düşük saldırı karmaşıklığıyla uzaktan kullanılabilen bu güvenlik açığı, işletim sistemi komut enjeksiyonunu ve kritik işlevler için eksik kimlik doğrulamayı içeriyor. Kamuya açık istismarlar mevcut.
Etkilenen Ürünler
Windows 10, 11, Windows Server 2016, 2019, 2022 için Easy UPS Çevrimiçi İzleme Yazılımının aşağıdaki sürümleri etkilenir:
- APC Easy UPS Çevrimiçi İzleme Yazılımı: v2.5-GA-01-22261 ve öncesi
- Schneider Electric Easy UPS Çevrimiçi İzleme Yazılımı: Sürüm V2.5-GA-01-22320 ve öncesi
Güvenlik Açığı Genel Bakış
Kritik İşlev için Eksik Kimlik Doğrulaması (CWE-306)
Yönetici kimlik bilgilerinde değişiklik yapılmasına izin verebilecek ve Java RMI arayüzünde önceden kimlik doğrulama gerektirmeden olası uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığı bulunmaktadır.
- CVE-2023-29411: CVSS v3 temel puanı 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Bir İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (‘İşletim Sistemi Komut Ekleme’) (CWE-78)
Schneider Electric APC Easy UPS Online’ın önceki sürümleri, Java RMI arayüzü aracılığıyla dahili yöntemleri yönetirken uzaktan kod yürütülmesine neden olabilecek bir İşletim Sistemi Komut Ekleme güvenlik açığı içerir.
- CVE-2023-29412: CVSS v3 temel puanı 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Kritik İşlev için Eksik Kimlik Doğrulaması (CWE-306)
Schneider UPS Monitor hizmetinde kimliği doğrulanmamış bir kullanıcı tarafından erişildiğinde hizmet reddi durumuna neden olabilecek bir güvenlik açığı bulunmaktadır.
- CVE-2023-29413: CVSS v3 temel puanı 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
MicroDicom’un DICOM Görüntüleyicisinde kritik bir güvenlik açığı (CVSS v4 puanı: 8,7) belirlendi.
Düşük saldırı karmaşıklığıyla uzaktan yararlanılabilen bu güvenlik açığı, özel bir URL şeması için işleyicide uygunsuz yetkilendirmeyi ve yığın tabanlı arabellek taşmasını içerir.
Etkilenen Ürünler
Tıbbi bir resim görüntüleyici olan MicroDicom DICOM Viewer’ın aşağıdaki sürümleri etkilenir:
- DICOM Görüntüleyici: 2024.2’den önceki sürümler
Güvenlik Açığı Genel Bakış
Özel URL Düzeni için İşleyicide Uygunsuz Yetkilendirme (CWE-939) – Bir saldırgan, kurbanın sistemine hassas dosyaları (tıbbi görüntüler) alabilir, yeni tıbbi görüntüler yerleştirebilir veya mevcut tıbbi görüntülerin üzerine yazabilir.
Bu güvenlik açığından yararlanabilmek için kullanıcı etkileşimi gereklidir.
- CVE-2024-33606: CVSS v3.1 temel puanı 8,8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
- CVSS v4 puanı: 8,6 (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N )
Yığın Tabanlı Arabellek Taşması (CWE-121) – Etkilenen ürün, bir saldırganın etkilenen DICOM Görüntüleyici kurulumlarında rastgele kod çalıştırmasına izin verebilecek yığın tabanlı arabellek taşmasına karşı savunmasızdır. Bu güvenlik açığından yararlanabilmek için kullanıcı etkileşimi gereklidir.
- CVE-2024-28877: CVSS v3.1 temel puanı 8,8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
- CVSS v4 puanı: 8,7 (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N )
CISA’nın Eylem Çağrısı
CISA, tüm yöneticileri ve güvenlik uzmanlarını bu tavsiyeleri incelemeye ve belirlenen riskleri azaltmak için uygun önlemleri almaya çağırmaktadır.
Buna yamaların uygulanması, yazılımın güncellenmesi ve önerilen güvenlik önlemlerinin uygulanması da dahildir.
Kurum, en son güvenlik tehditleri hakkında bilgi sahibi olmayı ve kritik altyapıyı korumak için güçlü siber güvenlik uygulamalarını sürdürmeyi vurguluyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs:
Try Free Demo