Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Araştırmacılar Korumasız Unitronics Cihazlarını Buldu
Prajeet Nair (@prajeetspeaks) •
9 Şubat 2024
İranlı devlet korsanlarının Amerikan su sistemleri tarafından kullanılan İsrail yapımı basınç izleme kontrolörlerini hedef alabilmelerinin bir nedeni şu: Kontrolörlerin neredeyse 150’si internete açık ve bazıları hala varsayılan şifre olan 1111’i kullanıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Amerika Birleşik Devletleri’nde temiz içme suyu sağlamak, genellikle kısıtlı bütçelerle çalışan ve bu nedenle zayıf siber güvenlik uygulamalarına sahip olabilen yerel yönetimlere devredilen bir görevdir. Bu sorun, Cyber Av3ngers olarak bilinen İranlı bir bilgisayar korsanlığı grubunun, Tel Aviv merkezli Unitronics tarafından üretilen su basıncı izleme sistemlerini hedef almasının ardından ön plana çıktı.
Saldırganlar Kasım ayında Aliquippa, Pensilvanya Belediye Su İdaresi tarafından kullanılan Unitronics programlanabilir mantık denetleyicisini hacklediler ve arayüzünü İsrail karşıtı bir mesajla tahrif ettiler. Saldırının su hizmeti veya kalitesi üzerinde hiçbir etkisi olmadı; ancak yerel basında iki ilçedeki su basıncının kısa süreliğine düştüğü bildirildi. Beaver County, Pensilvanya’yı kapsayan bir haber sitesi Ocak ayında, saldırıdan kurtulmanın su idaresine 20.000 dolara mal olduğunu bildirdi (bkz: ABD CISA: İsrail Yapımı Teknolojiyi İranlı Hackerlardan Koruyun).
O zamana kadar Amerika’nın 50.000 toplumsal su sistemindeki siber güvenlik sorunu, Biden yönetiminin siber güvenliği zorunlu su sistemi güvenlik değerlendirmelerinin bir bileşeni haline getirmeye yönelik başarısız girişiminin ortasında zaten süzülmeye başlamıştı.
ABD Hazine Bakanlığı bu ayın başlarında İran hükümetinin su sistemi saldırılarından sorumlu siber biriminin liderlerine yaptırım uyguladı (bkz: ABD, İsrail Teknolojisine Yapılan Saldırılar İçin İran Siber Liderlerine Yaptırımlar Uyguladı).
Perşembe günü Censys’ten araştırmacılar, internet taramalarının Amerika Birleşik Devletleri’nde herhangi bir kimlik doğrulama gerektirmeyen üç sanal ağ bilgi işlem arayüzü de dahil olmak üzere 149 açıkta kalan Unitronics cihazı ve hizmetinin varlığını ortaya çıkardığını söyledi.
Bu sayı, gerçek güvenlik risklerinden ziyade araştırmacıların balküpü gibi görünen yaklaşık 27 cihazı içeriyor. Cihazlar, uygulamaların PLC’lerle etkileşime girmesine izin veren, PCOM adı verilen tescilli bir Unitronics protokolünü açığa çıkardı. Censys araştırmacıları, “Gördüğümüz toplam PCOM hizmeti sayısının bu kadar çoğunun bal küpü gibi görünmesi biraz şaşırtıcı” dedi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Aliquippa saldırısının ardından su sistemi yöneticilerine PLC’lerin internet bağlantısını kesmelerini tavsiye etti. Censys, “bazı durumlarda” su kontrolörlerinin internete bağlı olmasının makul olabileceğini ancak bunların her zaman bir VPN tarafından veya erişimi kısıtlayan bir güvenlik duvarının arkasında korunması gerektiğini söyledi. Bir ağ geçidi cihazı, PLC’nin kendisi desteklemese bile çok faktörlü kimlik doğrulamayı kolaylaştırabilir.
Bu açığa çıkan Unitronics cihazları 39 PCOM hizmeti, 94 API uç noktası, 96 web yönetici paneli ve açıkta kalan VNC’lere sahip 95 cihazdan oluşuyordu.
Censys’in işaretlediği önemli güvenlik sorunlarından biri, PLC’lerdeki varsayılan web kontrol panelleridir. Varsayılan bir şifre olan 1111 ile önceden programlanmış olarak gelirler. CISA’nın Kasım ayı tavsiye belgesindeki en önemli öneri, bu şifrenin değiştirilmesiydi.
Araştırmacılar, “Pek çok kritik altyapı cihazı internette bulunuyor ve doğru önlemler alınmadığında, ulus devlet grupları ve zarar vermek isteyen diğer düşmanlar için kolay giriş noktaları haline gelebilir” dedi.
Sorunlu OT maruziyetleri suyun ve Unitronics hizmetlerinin ve cihazlarının ötesine geçer. Censys ayrıca enerji gibi kritik altyapı sektörleriyle ilgili internete yönelik diğer bazı OT hizmetlerinde de risklerin mevcut olduğunu gözlemledi.
Federal yetkililer Çarşamba günü yabancı bilgisayar korsanlarının (bu durumda Çinlilerin) ABD’nin kritik altyapı ağlarına yıkıcı saldırılar hazırladığı konusunda uyardı.