Kritik altyapı güvenliği
Araştırmacılar Tridyum Niagara Framework’te kusurları buluyor
Prajeet Nair (@prajeaetspeaks) •
23 Temmuz 2025
Güvenlik araştırmacılarını uyararak, Honeywell’in Akıllı Bina Middleware’deki güvenlik açıkları, bilgisayar korsanlarının fiziksel sistemleri manipüle etmesine veya güvenlik alarmlarını devre dışı bırakmasına izin verebilir.
Ayrıca bakınız: Ondemand Web Semineri | Yapay zeka ile çalışan önceliklendirme ile güvenlik açığı gürültüsünün% 99’unu ortadan kaldırın
Endüstriyel otomasyon devi Honeywell, tridyum Niagara çerçevesinin bir milyondan fazla örneğinin, HVAC sistemi gibi bina sistemleri ile bakım ve izleme konsolları gibi kurumsal uygulamalar arasındaki ara cihazların var olduğunu söylüyor.
Nozomi Networks’ten araştırmacılar Çarşamba günü, çerçevede “zorlayıcı bir saldırı zinciri” içeren 13 güvenlik açığı keşfettiklerini söyledi. Siber güvenlik şirketi, CVSS ölçeğinde orta ila yüksek şiddet arasında değişen güvenlik açıkları için yamalar yayınlayan Honeywell ile açıklamayı koordine etti.
Herhangi bir saldırının, zaten ağa erişimi olan bir hacker ile başlaması gerekir. Bir saldırı, Syslog verilerini şifrelemeyen Tridyum Niagara müşterisine de bağlı olacaktır, çünkü saldırı yolunun önemli bir kısmı, jetonun önlenmesi gereken şeyi – bir bölgeler arası sahtecilik saldırısı yapmak için CSRF jetonunu kütüklerden almaktır.
Çoğu durumda şifreleme varsayılan olarak etkinleştirilir, ancak güvenli günlüğe kaydetme uygulamalarının genellikle göz ardı edildiği eski ortamlarda şifrelemeyi etkinleştirmemesi nadir değildir.
Tridyum Niagara cihazına kök erişimi ile saldırganlar kalıcı kontrol kazanabilir ve bunu “gerçek dünya sonuçlarına neden olmak için kullanabilir, ticari gayrimenkul, sağlık, ulaşım, üretim ve enerji gibi sektörler arasında güvenlik, üretkenlik ve hizmet sürekliliğini” uyardı. Bir hastanedeki HVAC sistemlerini kapatabilir, akıllı bir binadaki aydınlatma kontrollerini değiştirebilir, bir üretim tesisindeki güvenlik sistemlerini devre dışı bırakabilir veya enerji dağılımına karşı kurcalama yapabilirler (bakınız: Akıllı binalarda siber güvenlik bombası).
Güvenlik açıkları, 4.10U10 ve daha önce dahil olmak üzere Niagara Framework ve Niagara Enterprise Güvenliğinin birçok versiyonunu, 4.14U1 ve daha önceki sürümleri etkiler.
Bir saldırganın ilk adımı, Niagara çerçevesinin CSRF yenileme jetonlarını iletip iletmediğini kontrol etmek olacaktır. get Yöntem, o zamandan beri get Talepler genellikle günlüğe kaydedilir. Şifrelenmemiş günlüklerden alınan jetonla, saldırgan bir sistem yöneticisini gelen tüm HTTP isteklerinin ve yanıtlarının içeriğinin tamamen günlüğe kaydedilmesine neden olmak için bir sistem yöneticisini kandırmak için bir sahil sahteciliği saldırısı oluşturur.
Bu genişletilmiş günlükler, saldırganın Java web uygulamaları için yöneticinin oturum jetonunu çıkarmasına izin verecektir. Elde etmek JSESSIONID Token, saldırganın tam yönetici ayrıcalıkları kazanmasına ve bir arka kapı oluşturmasına izin verir. Şimdiye kadar, saldırı zinciri, Niagara çerçevesinin – Nozomi’nin açıkladığı gibi – cihazlarla iletişim kuran ve izleme ve kontrol için kullanıcı arayüzleri sağlayan Niagara çerçevesinin operasyonel bileşeni olan istasyon olarak bilinen bir bölümde gerçekleşti.
Saldırının bu aşamasında, bilgisayar korsanı, cihazın TLS sertifikasıyla ilişkili özel anahtarları indirerek Niagara Framework’ün diğer bölümüne tam erişim sağlayacaktır-Platform yarısı veya istasyonun temelini oluşturan temel yazılım ortamı.
“Platformun kontrolü ile saldırgan derhal CVE-2025-3944’ten, cihazda kök seviyesi RCE sağlayan güvenlik açığı, tam devralma elde eder.
Araştırmacılar, Honeywell’in bulgularına derhal cevap verdiğini söyledi. BT şirketi, kullanıcılara etkilenen sistemleri derhal yükseltmelerini ve şifrelemeyi uygulamak, OT ağlarını izole etmek ve şüpheli aktiviteyi izlemek için sertleştirme kılavuzunu takip etmelerini tavsiye etti.