ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Salı günü Delta Electronics ve Rockwell Automation’ın ekipmanlarını etkileyen kritik kusurlara ilişkin uyarıda bulunan sekiz Endüstriyel Kontrol Sistemleri (ICS) tavsiyesi yayınladı.
Buna, Delta Electronics’in gerçek zamanlı bir cihaz izleme yazılımı olan InfraSuite Device Master’daki 13 güvenlik açığı dahildir. 1.0.5’ten önceki tüm sürümler sorunlardan etkilenir.
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, kimliği doğrulanmamış bir saldırganın dosyalara ve kimlik bilgilerine erişmesine, ayrıcalıkları yükseltmesine ve uzaktan rasgele kod yürütmesine izin verebilir” dedi.
Listenin başında CVE-2023-1133 (CVSS puanı: 9.8), InfraSuite Device Master’ın doğrulanmamış UDP paketlerini kabul etmesi ve içeriğin serisini kaldırması, böylece kimliği doğrulanmamış bir uzak saldırganın rastgele kod yürütmesine izin vermesi gerçeğinden kaynaklanan kritik bir kusur var.
CISA, diğer iki seri kaldırma kusurunun, CVE-2023-1139 (CVSS puanı: 8.8) ve CVE-2023-1145 (CVSS puanı: 7.8)’nin de uzaktan kod yürütme elde etmek için silah haline getirilebileceği konusunda uyardı.
Piotr Bazydlo ve isimsiz bir güvenlik araştırmacısı, eksiklikleri keşfedip CISA’ya bildirmekle itimat edildi.
Diğer bir güvenlik açığı grubu, Rockwell Automation’ın ThinManager ThinServer’ı ile ilgilidir ve ince istemci ve uzak masaüstü protokolü (RDP) sunucu yönetim yazılımının aşağıdaki sürümlerini etkiler –
- 6.x – 10.x
- 11.0.0 – 11.0.5
- 11.1.0 – 11.1.5
- 11.2.0 – 11.2.6
- 12.0.0 – 12.0.4
- 12.1.0 – 12.1.5 ve
- 13.0.0 – 13.0.1
Sorunların en ciddi olanı, kimliği doğrulanmamış bir uzak saldırganın dizine rasgele dosyalar yüklemesine izin verebilecek CVE-2023-28755 (CVSS puanı: 9.8) ve CVE-2023-28756 (CVSS puanı: 7.5) olarak izlenen iki yol geçiş kusurudur. ThinServer.exe’nin kurulu olduğu yer.
Daha da rahatsız edici bir şekilde, düşman CVE-2023-28755’i mevcut yürütülebilir dosyaların üzerine trojenleştirilmiş sürümlerle yazmak için silah haline getirebilir ve potansiyel olarak uzaktan kod yürütülmesine yol açabilir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın potansiyel olarak hedef sistemde/cihazda uzaktan kod yürütmesine veya yazılımı çökertmesine izin verebilir.”
Potansiyel tehditleri azaltmak için kullanıcılara 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 ve 13.0.2 sürümlerine güncelleme yapmaları önerilir. ThinManager ThinServer 6.x – 10.x sürümleri kullanımdan kaldırıldı ve kullanıcıların desteklenen bir sürüme yükseltme yapmaları gerekiyor.
Çözüm olarak, 2031/TCP bağlantı noktasına uzaktan erişimin bilinen ince istemciler ve ThinManager sunucularıyla sınırlandırılması da önerilir.
Açıklama, CISA’nın Rockwell Automation ThinManager ThinServer’da (CVE-2022-38742, CVSS puanı: 8.1) rastgele uzaktan kod yürütülmesine neden olabilecek yüksek önem dereceli bir arabellek taşması güvenlik açığı uyarısından altı aydan uzun bir süre sonra geldi.