Yönetişim ve Risk Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Fuji’nin Tellus ve V-Server Yazılımındaki Kusurlar Kritik Altyapı İçin Risk Oluşturuyor
Jayant Chakravarti (@JayJay_Tech) •
3 Aralık 2024
Güvenlik araştırmacıları, Japon ekipman üreticisi Fuji Electric’in uzaktan izleme yazılımında, saldırganların kamu hizmetleri ve diğer kritik altyapı sağlayıcıları tarafından yaygın olarak kullanılan cihazlarda kötü amaçlı kod çalıştırmasına olanak tanıyan 16 sıfır gün güvenlik açığını ortaya çıkardı.
Ayrıca bakınız: Tedarik Zinciri Saldırıları Nasıl Çalışır ve Onlara Karşı Nasıl Güvenlik Sağlanır?
Sıfır Gün Girişimi, sıfır gün güvenlik açıklarının Fuji Electric’in Tellus ve Tellus Lite uzaktan izleme yazılımını, V-Server ve V-Server Lite simülatör modüllerini ve V-SFT adlı bir grafik düzenleyicideki uzaktan izleme yazılımını etkilediğini söyledi.
1923 yılında kurulan Fuji Electric, invertörler, jeneratörler, pompalar, elektrikli ekipmanlar ve güç yarı iletkenleri dahil olmak üzere endüstriyel makine ve sistemler üretmektedir. Tellus ve V-Server, endüstriyel operatörlerin operasyonlarını uzaktan kontrol etmelerine ve sürdürmelerine, sahadaki verileri yönetmelerine ve sorunları gidermelerine olanak tanır.
Ancak araştırmacılar, Monitouch V-SFT güvenlik açıklarının, saldırganların etkilenen kurulumlarda rastgele kod yürütmesine olanak verebileceği konusunda uyardı. Başarılı bir şekilde yararlanma, kullanıcı etkileşimi gerektirir; bu, kötü niyetli aktörlerin, kullanıcıları kötü amaçlı bir sayfayı ziyaret etmeye yönlendirebileceği veya sisteme sızmak ve kötü amaçlı kod yürütmek için kötü amaçlı bir dosyayı açabileceği anlamına gelir.
Güvenlik açığının açıklanması, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın Haziran ayında Fuji Electric’in Tellus Lite V-Simulator’u hakkında yaptığı benzer bir uyarının ardından geldi; bu yazılım, bir saldırganın kötü amaçlı kod çalıştırmasına olanak tanıyan sınır dışı yazma ve yığın tabanlı arabellek taşması güvenlik açıklarına sahipti. uygulamak.
Elektrikli ekipman üreticisi, 2021 yılında Tellus Lite V-Simulator ve V-Server Lite uzaktan izleme yazılımını etkileyen en az yarım düzine güvenlik açığını kapattı. Bu yüksek önemdeki güvenlik açıkları, saldırganların rastgele kod yürütmesine, hizmet reddi saldırıları gerçekleştirmesine veya hassas bilgiler elde etmesine olanak sağladı.
Zero Day Initiative, yakın zamanda keşfedilen güvenlik açıklarının, kullanıcı tarafından sağlanan verilerin uygunsuz şekilde doğrulanması nedeniyle ortaya çıktığını ve bu tür dosyaların ayrıştırılması sırasında sınırların dışında yazma güvenlik açığına yol açtığını söyledi. Araştırmacılar, “Bir saldırgan, mevcut süreç bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir” dedi.
Araştırma ekibi, V8, V8C, V9C, V10 ve X1 dosyalarının hatalı doğrulanmasıyla ilişkili sıfır gün güvenlik açıklarına ayrı CVE kodları atadı. ZDI, güvenlik açıklarının Temmuz ayında bildirildiğini ancak Fuji Electric’in yama yayınlamak için Nisan 2025’e kadar uzatma talebinde bulunduğunu söyledi.
Japonya Bilgisayar Acil Durum Müdahale Ekibi tarafından tutulan Japonya’nın ulusal güvenlik açığı veritabanına göre, CVE-2024-38309, V-SFT v6.2.2.0 ve önceki sürümlerini, TELLUS v4.0.19.0 ve önceki sürümlerini ve TELLUS Lite v4.0.19.0 ve önceki sürümlerini etkiliyor sürümleri ve CVE-2024-38658, V-Server v4.0.19.0 ve önceki sürümlerini ve V-Server Lite’ı etkiler v4.0.19.0 ve önceki sürümler. CVE-2024-38389 olarak atanan üçüncü güvenlik açığı, TELLUS v4.0.19.0 ve önceki sürümleri ile TELLUS Lite v4.0.19.0 ve önceki sürümlerini etkiliyor.