Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 22 Ekim 2024’te Endüstriyel Kontrol Sistemlerini (ICS) hedef alan yeni bir öneri yayınladı. Tavsiye belgesinde vurgulanan en önemli güvenlik açıklarından biri, ICONICS ve Mitsubishi Electric’in ürün paketleri ile ilgilidir.
Bu öneriler, ICS kullanıcılarını ve yöneticilerini, kritik altyapılarını etkileyebilecek güvenlik açıkları, kötüye kullanımlar ve ortaya çıkan tehditler konusunda bilgilendirmek için tasarlanmıştır.
ICS Danışmanlığının Yönetici Özeti
Söz konusu güvenlik açığı, CVSS v3.1 temel puanı 7,8 ile CVE-2024-7587 altında kategorize edilmiştir ve bu, yüksek ciddiyetini yansıtmaktadır. Saldırı karmaşıklığı düşük olan bu güvenlik açığı, GENESIS64, Hyper Historian, AnalytiX ve MobileHMI (sürüm 10.97.3 ve öncesi) gibi ürünlerin yanı sıra tüm sürümlerde Mitsubishi Electric’in MC Works64’ü de dahil olmak üzere ICONICS Suite kullanıcıları için ciddi bir endişe yaratıyor. .
Bu güvenlik açığından başarıyla yararlanılması durumunda veri ihlallerine, yetkisiz verilere müdahaleye ve en kötü senaryoda hizmet reddi (DoS) koşullarına yol açabilir.
ICONICS ve Mitsubishi Electric Güvenlik Açığı’nı Anlamak
Sorunun temelinde, yetkisiz kullanıcıların kritik verilere erişmesine olanak tanıyan hatalı varsayılan izinler (CWE-276) yer alıyor. Bu, gizli bilgilerin ifşa edilmesine, hassas verilerin manipülasyonuna veya yanlış yapılandırılmış erişim izinleri nedeniyle olası hizmet reddi olaylarına neden olabilir.
Bu güvenlik açığı uzaktan istismar edilemese de, yani sisteme yerel erişim gerektirse de, özellikle hem ICONICS hem de Mitsubishi Electric ürünlerinin dünya genelindeki endüstrilerde, özellikle de kritik üretim sektöründe yaygın olarak kullanıldığı göz önüne alındığında, etkisi oldukça büyüktür.
Etkilenen Ürünler
Öneri belgesinde bu güvenlik açığından etkilenen belirli ürünler listelenmektedir:
- GENESIS64, Hyper Historian, AnalytiX ve MobileHMI ürünlerini içeren ICONICS Suite, sürüm 10.97.3 ve öncesi.
- Tüm sürümlerde etkilenen Mitsubishi Electric MC Works64.
Risk Değerlendirmesi
Güvenlik açığı, kritik sonuçlara yol açma potansiyeli nedeniyle orta ila yüksek düzeyde risk sunar. Güvenlik açığından uzaktan yararlanılamasa ve yerel erişim gerektirse de, hatalı varsayılan izinler veri tahrifatına, bilgilerin ifşa edilmesine ve hizmet kesintilerine kapı açmaktadır. Sektörlerde ICS’ye olan bağımlılığın arttığı göz önüne alındığında, bu tür güvenlik açıkları operasyonel süreklilik ve veri bütünlüğü açısından ciddi zorluklar oluşturabilir.
Teknik Arıza
Sorun, varsayılan izinlerin yanlış atanmasından kaynaklanıyor. Özellikle yetkisiz kullanıcılar, kritik verileri depolayan dizinlere aşırı erişim sağlama potansiyeline sahiptir. Bu, yalnızca bireysel sistemler için değil aynı zamanda yerelleştirilmiş ihlallerin bile tüm altyapıya yayılabileceği birbirine bağlı ICS ortamları için de bir tehdit oluşturmaktadır.
Bu güvenlik açığı için atanan CVSS vektör dizesi şu şekildedir: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Bu döküm, saldırının yerel erişim (AV) gerektirdiği ve düşük karmaşıklığa (AC) sahip olduğu ve sistemin gizliliğini, bütünlüğünü ve kullanılabilirliğini önemli ölçüde tehlikeye atma potansiyeline sahip olduğu gerçeğini yansıtıyor.
Azaltmalar
Bu güvenlik açığını gidermek amacıyla ICONICS ve Mitsubishi Electric, kullanıcılarına çeşitli risk azaltma stratejileri önermektedir. ICONICS ürünleri için aşağıdaki adımlar kritik öneme sahiptir:
- Sürüm 10.97.3 CFR1 veya Üstünü Kullanın: Yeni sistemler için, soruna açık olmayan bu sürüme veya sonraki bir sürüme yükseltin.
- Mevcut Sistemler İçin: 10.97.3 veya daha önceki bir sürümü kullanıyorsanız, birlikte verilen GenBroker32’yi yüklemekten kaçının. Bunun yerine GenBroker32’nin en son sürümünü ICONICS’ten indirip yükleyin.
- Klasör İzinlerini Doğrulayın ve Düzeltin: Yöneticiler C:\ProgramData\ICONICS klasörünün izinlerini gözden geçirmelidir. Klasör “Herkes” grubuna erişim sağlıyorsa danışma belgesinde belirtilen adım adım süreci izleyerek bu izni kaldırın.
Mitsubishi Electric MC Works64 için izin incelemesi ve güvenlik düzeltme eki uygulamayla ilgili aynı prensipler geçerlidir. Yöneticiler aşağıdakileri yapmaya teşvik edilir:
- Kullanılabilir hale geldikçe güvenlik yamalarını düzenli olarak uygulayın.
- Erişim izinlerini sürekli izleyin ve aşırı geniş izinlerin (“Herkes” erişimi gibi) kaldırıldığından emin olun.
CISA’dan Proaktif Savunma Önerileri
CISA, ICS kullanıcılarının CVE-2024-7587 gibi güvenlik açıklarına karşı savunma yapmasına yardımcı olacak zengin kaynaklar sunar. Kuruluşların siber güvenlik konusunda aşağıdakileri içeren derinlemesine savunma stratejilerini içeren proaktif bir yaklaşım benimsemeleri kritik öneme sahiptir:
- Azaltma stratejilerini uygulamaya koymadan önce bir risk değerlendirmesi ve uygun etki analizi yapmak.
- CISA’nın Derinlemesine Savunma Stratejileri ile Endüstriyel Kontrol Sistemleri Siber Güvenliğinin Geliştirilmesi belgesinde ana hatlarıyla belirtilenler gibi ICS siber güvenliğine yönelik en iyi uygulamaları düzenli olarak gözden geçirmek ve uygulamak.
- En son güvenlik önerileri, rehberlik ve teknik kaynaklar için CISA’daki ICS web sayfasının izlenmesi.
Raporlama ve Dikkatin Önemi
Şu ana kadar bu güvenlik açığının kamu tarafından istismar edildiği CISA’ya bildirilmese de kurum, kuruluşları dikkatli olmaya çağırıyor. Herhangi bir kötü niyetli faaliyetten şüphelenilmesi durumunda, kuruluşların yerleşik olay müdahale prosedürlerini takip etmeleri ve korelasyon ve takip için bulguları CISA’ya raporlamaları tavsiye edilir. Erken tespit ve hızlı eylem, kritik altyapı sistemlerindeki güvenlik açıklarının potansiyel etkisini önemli ölçüde azaltabilir.
Kullanıcılar bu danışma belgesinde özetlenen adımları izleyerek kötüye kullanım riskini azaltabilir ve ICS altyapılarının potansiyel tehditlere karşı dayanıklılığını sağlayabilir.