Team82, Honeywell’in ControlEdge Sanal Birim Operasyon Merkezi’nde (UOC) çok sayıda kritik güvenlik açığını ortaya çıkardı.
EpicMo protokolü uygulamasındaki bu güvenlik açıkları, saldırganların kimlik doğrulama olmadan uzaktan kod yürütmesine olanak tanıyabilir.
Honeywell o zamandan bu yana bu sorunları ele aldı ancak keşif, endüstriyel kontrol sistemlerinin (ICS) güvenliğinin sağlanmasında devam eden zorlukların altını çiziyor.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
EpicMo Protokolü ve Güvenlik Açıkları
Honeywell’in tescilli iletişim protokolü EpicMo, Honeywell kontrolörlerindeki hataları ayıklamak ve teşhis etmek için kullanılır.
TCP bağlantı noktası 55565 üzerinden çalışır ve ReadMemory, WriteMemory, Reboot ve ReadCrashBlock gibi işlev kodlarını içerir.
Ancak Team82’nin araştırması, protokolün, uygun temizlik olmadan Sanal UOC denetleyicilerine dosya yazmak için kullanılabilecek belgelenmemiş işlevler de içerdiğini ortaya çıkardı.
CVE-2023-5389: Dosya Yazmadan Kimlik Doğrulama Öncesi Uzaktan Kod Yürütmeye
Tanımlanan en kritik güvenlik açıklarından biri CVE-2023-5389’dur. Bu güvenlik açığı, EpicMo protokolündeki LoadFileToModule işlevinden (Komut 0x51) kaynaklanmaktadır.
İşlev, kullanıcıların doğrulama veya sınırlama olmaksızın bir Destination_Path belirterek denetleyiciye dosya yazmasına olanak tanır.
Bu kısıtlama eksikliği, saldırganların denetleyicideki herhangi bir yazılabilir konuma dosya yazabileceği ve potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açabileceği anlamına gelir.
Bu güvenlik açığından yararlanmak için, bir saldırganın denetleyiciye dosya yazmayı başlatacak bir komutla başlayıp veri paketlerini takip eden ve yüklemenin sonunu bildiren son bir komutla son bulan bir dizi paket göndermesi gerekir.
Saldırgan, /lib/libcap.so.2 gibi sistem tarafından paylaşılan bir nesne dosyasının üzerine kötü amaçlı bir veri yazarak, denetleyicinin yeniden başlatılması üzerine kod yürütmeyi başarabilir.
CVE-2023-5390: Ek Güvenlik Sorunları
EpicMo protokolünde başka bir güvenlik açığı olan CVE-2023-5390 da tespit edildi.
Bu özel güvenlik açığına ilişkin ayrıntılar daha az kapsamlı olsa da, CVSS v3’e 5,3 puanı verilmiştir, bu da orta düzeyde bir önem düzeyine işaret etmektedir.
Bu güvenlik açığı, endüstriyel ortamlardaki özel protokollerle ilişkili potansiyel riskleri daha da vurgulamaktadır.
Honeywell’in Müdahalesi ve Azaltma
Bu bulgulara yanıt olarak Honeywell, tespit edilen güvenlik açıklarını gidermek üzere Virtual UOC’yi güncelledi.
Siber Güvenlik Altyapısı ve Güvenlik Ajansı (CISA) da riskleri azaltmak için kullanıcıları sistemlerini en son sürümlere güncellemeye teşvik eden bir danışma belgesi yayınladı.
Honeywell’in bu güvenlik açıklarına karşı hızlı bir şekilde harekete geçmesi takdire şayandır ancak olay, endüstriyel kontrol sistemlerinde sağlam güvenlik önlemlerinin öneminin açık bir hatırlatıcısıdır.
Honeywell’in Virtual UOC’sinde bu güvenlik açıklarının keşfedilmesi, endüstriyel ortamlarda sürekli güvenlik değerlendirmelerine ve güncellemelere yönelik kritik ihtiyacın altını çiziyor.
EpicMo gibi tescilli protokoller ICS’nin işleyişinin ayrılmaz bir parçası olduğundan, bunların güvenliğinin sağlanması, endüstriyel süreçleri potansiyel manipülasyon veya kesintiden korumak için çok önemlidir.
Honeywell’in Sanal UOC kullanıcılarının sistemlerini güncellemeleri ve potansiyel tehditlere karşı tetikte olmaları şiddetle tavsiye edilir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers