Crit.IX olarak adlandırılan bu güvenlik açıkları, Honeywell sunucusunda ve denetleyicilerin eski sürümünde yetkisiz uzaktan kod yürütülmesine izin verebilir.
Siber güvenlik firması Armis ve Amerikalı holding Honeywell’deki güvenlik araştırmacıları, Honeywell Experion DCS platformlarında bulunan dokuz yeni güvenlik açığının ayrıntılarını ortaklaşa açıkladılar.
Bildirildiğine göre Armis, Mayıs 2022’de bu kusurları tespit etti ve Experion C300 denetleyicilerinde ve sunucusunda bulunan ve daha sonra dokuz yeni güvenlik açığına dönüştürülen 13 kod sorunu hakkında Honeywell’i bilgilendirdi.
9 güvenlik açığından 7’si kritik olarak ilan edildi. Armis ve Honeywell bu bulguları ve potansiyel etkilerini birlikte araştırmaya karar verdiler.
Crit.IX olarak adlandırılan bu güvenlik açıkları, Honeywell sunucusunda ve denetleyicilerin eski sürümlerinde yetkisiz uzaktan kod yürütülmesine izin verebilir. Etkilenen cihazlar kritik endüstrilerde kullanılmaktadır, bu nedenle bunların kullanılması önemli hizmetlerin fiziksel olarak aksamasına neden olabilir ve hatta kullanıcıların güvenliğini riske atabilir.
Saldırganlar, mühendislik iş istasyonunu bu değişikliklerden haberdar etmeden cihazları ele geçirebilir ve DCS denetleyici işlemlerini değiştirebilir.
Araştırma CTO’su Tom Gol tarafından yazılan Armis raporuna göre, Honeywell’in tescilli protokolü olan CDA protokolünde zayıf noktalar belirlendi. Bu protokol, Honeywell Experion sunucuları ile C300 denetleyicileri arasında iletişim kurar. Protokolde eski şifreleme ve uygun bir kimlik doğrulama mekanizması bulunmadığından, ağ erişimi olan herkes denetleyicinin ve sunucunun kimliğine bürünebilir.
Ayrıca, CDA protokolünde veri sınırlarının kontrolünü zorlaştırabilecek ve arabellek taşmalarına neden olabilecek tasarım kusurları bulundu. Ayrıca Honeywell, Experion sunucusunda, Honeywell Experion sunucusu ve uygulamalarının iletişim kurduğu bir CDA Veri İstemcisi Adlandırılmış Erişim protokolü uygular.
Bu protokolde, saldırganların Experion sunucusunda RCE gerçekleştirmesine izin veren dört güvenlik açığı bulundu. Honeywell Experion Process Knowledge System ve LX ve PlantCruise platformları gibi çeşitli Experion platformları bu güvenlik açıklarından etkilenir.
Bu güvenlik açıklarından yararlanmak için kimlik doğrulamasının gerekli olmadığını ve bir dizüstü bilgisayar veya satış makinesi kullanarak hedeflenen cihazlara ağ erişimi sağlamanın bu işi yapabileceğini belirtmekte fayda var.
Ayrıca, saldırganlar herhangi bir güvenliği ihlal edilmiş IoT, BT ve OT varlıkları DCS cihazlarıyla aynı ağda bulunur ve denetleyicide oturum açması gerekmez. DCS (dağıtılmış kontrol sistemleri), enerji, petrol ve gaz madenciliği, ilaç ve diğer kritik endüstrilerdeki büyük endüstriyel süreçlerin kontrolünden sorumlu dijital otomatikleştirilmiş ICS’dir.
İş açısından bakıldığında, bu kusurlar, tam elektrik kesintileri gibi hizmet kesintilerine neden olabilir. Honeywell DCS sistemleri, petrol ve gaz endüstrisinde yaygın olarak kullanılmaktadır, bu nedenle en büyük tehdit bu sektöre yöneliktir. Diğer önde gelen Honeywell DCS müşterileri arasında Shell, AstraZeneca, NASA ve ABD Savunma Bakanlığı bulunmaktadır.
“CS güvenlik açıkları, enerji santralleri, üretim tesisleri ve petrol rafinerileri dahil olmak üzere kritik altyapılar için önemli bir risk oluşturuyor. Sorumlu güvenlik açığı ifşası, bu sistemlerin potansiyel saldırılara karşı korunmasını sağlamada ve kamu güvenliği ve operasyonel süreklilik üzerindeki etkiyi en aza indirmede çok önemli bir rol oynuyor” diye yazdı Gol. rapor 13 Temmuz 2023 tarihinde yayınlandı.
Henüz bu güvenlik açıklarından yararlanıldığına dair bir kanıt yok. Honeywell, kusurları açıklamadan önce güvenlik yamaları yayınladı ve müşterilerini etkilenen cihazları derhal yama yapmaya çağırdı.
İLGİLİ MAKALELER
- Bilgisayar Korsanları, İnternet Bağlantılı Sistemler Aracılığıyla Petrol ve Gaz Firmalarını Hedefliyor
- Honeywell Gaz Dedektörlerindeki Güvenlik Kusuru İnsanları Neredeyse Öldürebilir
- Denetleyici düzeyindeki kusurlar, bilgisayar korsanlarının hareketli köprülere fiziksel olarak zarar vermesine olanak tanır
- ABD Fed Ağlarında Açığa Çıkan Arayüzler: Gerçekleşmeyi Bekleyen Bir İhlal