Güvenlik uzmanları, Emerson Rosemount tarafından üretilen, yaygın olarak kullanılan endüstriyel gaz kromatograflarında çok sayıda güvenlik açığı tespit etti. Bu kusurlar potansiyel olarak kötü niyetli kişilerin hassas bilgilere erişmesine, operasyonları kesintiye uğratmasına ve yetkisiz komutlar yürütmesine olanak tanıyabilir.
Gaz kromatografları, çevre tesisleri, hastaneler ve gıda işleme şirketleri de dahil olmak üzere çeşitli endüstrilerde kimyasal bileşikleri analiz etmek için kullanılan kritik cihazlardır. Bu cihazlar, gaz ölçümlerinin doğruluğunu ve çevrenin, hastaların ve tüketicilerin güvenliğini sağlamak için kritik öneme sahiptir.
Emerson Rosemount Gaz Kromatograflarındaki Kusurlar
Operasyonel teknoloji güvenlik firması Claroty, iki komut enjeksiyon açığı ve iki kimlik doğrulama atlama sorunu içeren güvenlik açıklarını keşfetti. Bu açıklar istismar edilirse, kimliği doğrulanmamış saldırganların keyfi komutlar çalıştırmasını, hassas verilere erişmesini ve yönetimsel kontrol elde etmesini sağlayabilir.
Endüstriyel ortamlarda gaz analizi için yaygın olarak kullanılan Emerson Rosemount 370XA gaz kromatografisini incelemek için araştırmacılar sistemleri taklit etmek için çaba sarf ettiler. Bu karmaşık süreç, fiziksel cihazın 100.000 dolardan fazlaya mal olabilmesi ve araştırmanın altı haftalık bir projeyle sınırlı olması nedeniyle üstlenildi.
Emülasyon süreci, resmi Emerson Rosemount web sitesinden cihaz yazılımının indirilmesini ve çıkarılmasını ve tescilli protokollerini uygulayabilecek bir uygulama aramasını içeriyordu. Araştırmacılar, gaz kromatografisi tarafından kullanılan PowerPC mimarisini taklit etmek ve çıkarılan yazılımı çalıştırmak için QEMU emülatörünü kullandılar. Araştırmacılar, araştırma sonucunda dört temel güvenlik açığını ortaya çıkarabildiler:
- CVE-2023-46687: Kök düzeyindeki komutların kimlik doğrulaması olmadan uzaktan yürütülmesine izin verir (CVSS puanı: 9,8)
- CVE-2023-49716: Kimliği doğrulanmış kullanıcıların uzaktan rastgele komutlar çalıştırmasına olanak tanır (CVSS puanı: 6,9)
- CVE-2023-51761: Kimliği doğrulanmamış kullanıcıların kimlik doğrulamasını atlatmasına ve parolaları sıfırlayarak yönetici erişimi elde etmesine izin verir (CVSS puanı: 8,3)
- CVE-2023-43609: Kimliği doğrulanmamış kullanıcıların hassas bilgilere erişmesine veya hizmet reddine neden olmasına izin verir (CVSS puanı: 6,9)
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Ocak ayında başarılı saldırıların “hizmet reddi koşullarına” ve yetkisiz sistem erişimine yol açabileceği konusunda uyarıda bulunan bir bildiri yayınladı. Etkilenen modeller arasında 4.1.5 ve önceki aygıt yazılımı sürümlerini çalıştıran GC370XA, GC700XA ve GC1500XA yer alıyor.
Sanayi Etkisi ve Etki Azaltımı
Gaz kromatografları, çevresel izlemeden tıbbi teşhise kadar çeşitli sektörlerde önemli bir rol oynamaktadır. Güvenliği ihlal edilen cihazların geniş kapsamlı sonuçları olabilir.
Gıda işlemede, kromatograflara yapılan saldırılar doğru bakteri tespitini engelleyerek üretimi durdurabilir. Sağlık hizmetleri ortamlarında, bozulan kan örneği analizi hasta bakımını etkileyebilir.
Emerson, bu güvenlik açıklarını gideren güncellenmiş ürün yazılımını yayımladı. Claroty araştırmacıları, “ortak hedefimize olan bağlılıklarını gösteren hızlı yanıt ve işbirliği için Emerson’u takdir ettiklerini” söyledi.
Emerson, müşterilerine yamaları uygulamalarını ve siber güvenlik sektöründeki en iyi uygulamaları güncel standartlara göre uygulamalarını öneriyor.
Firma şunu belirtti: “Emerson ayrıca son kullanıcıların mevcut siber güvenlik sektörünün en iyi uygulamalarını kullanmaya devam etmesini ve bu tür bir altyapının son kullanıcının ağında uygulanmaması durumunda Etkilenen Ürünün iyi bir ağ ile bağlantılı olmasını sağlamak için harekete geçilmesini tavsiye ediyor. korumalı ağ ve değil
internete bağlanıldı.
CISA, danışma yazısında bu sistemlerin güvenliğinin sağlanması için şu önerileri paylaştı:
- Ağa maruz kalmayı en aza indirin: Kontrol sistemi cihazlarının ve/veya sistemlerinin internetten herkesin erişimine açık olmadığından emin olun.
- Kontrol sistemi ağlarının yerini tespit edin: Uzak cihazları güvenlik duvarlarının arkasına yerleştirin ve bunları iş ağlarından yalıtın
- Güvenli Uzaktan Erişim: Uzaktan erişimi güvence altına almak için Sanal Özel Ağlar (VPN’ler) kullanın. Ancak, kurum ayrıca VPN’lerdeki potansiyel içsel riskler konusunda uyardı ve kuruluşlardan ve işletmelerden bunların farkında olmalarını istedi.
CISA, kuruluşlara savunma önlemlerini uygulamaya koymadan önce uygun etki analizi ve risk değerlendirmesi yapmalarını hatırlatıyor” denildi.