Rockwell Automation, ControlLogix endüstriyel programlanabilir mantık denetleyicilerinin (PLC’ler) iletişim modüllerindeki iki güvenlik açığını (CVE-2023-3595, CVE-2023-3596), vahşi kullanımda beklenen (ve muhtemel) öncesinde düzeltti.
Endüstriyel siber güvenlik şirketi Dragos Çarşamba günü yaptığı açıklamada, “Bu güvenlik açıklarından yararlanan yayınlanmamış bir yararlanma yeteneği, adsız bir APT (Gelişmiş Kalıcı Tehdit) grubuyla ilişkilidir” dedi.
Güvenlik açıkları hakkında (CVE-2023-3595, CVE-2023-3596)
CVE-2023-3595, saldırganların ürün yazılımı belleğini manipüle etmesine, kalıcılıkla uzaktan kod yürütmesine ve cihazdan geçen verileri değiştirmesine, reddetmesine ve sızdırmasına olanak tanır. ControlLogix modüllerinin 1756 EN2* ve 1756 EN3* serisini etkiler.
CVE-2023-3596, hizmet reddi durumunu tetiklemek için kullanılabilir ve 1756-EN4* serisi ControlLogix modüllerini etkiler.
Her iki güvenlik açığı da kötü amaçlarla oluşturulmuş CIP (Ortak Endüstriyel Protokol) mesajları aracılığıyla tetiklenebilir.
“Bu güvenlik açıklarından yararlanmanın sonuçları ve etkisi, ControlLogix sistem yapılandırmasına bağlı olarak değişir, ancak bunlar, kontrolün reddine veya kaybına, reddine veya görüş kaybına, operasyonel verilerin çalınmasına veya sistem üzerinde yıkıcı veya yıkıcı sonuçlar için kontrolün manipüle edilmesine yol açabilir. ControlLogix sisteminin sorumlu olduğu endüstriyel süreç,” diye belirtti Dragos uzmanları.
Düzelt, hafiflet, tespit et
Güvenlik açığı bulunan iletişim modülleri, imalat, enerji ve ulaşım dahil olmak üzere çeşitli sektörlerdeki kuruluşlar tarafından kullanılmaktadır.
Etkilenen ürünlerin tam listesi, Siber Güvenlik ve Altyapı Ajansı (CISA) ve Rockwell Automation tarafından yayınlanan tavsiyelerde bulunabilir (ikincisine yalnızca geçerli bir hesapla erişilebilir).
Her iki öneri de risk azaltma ve tespit etme önerileri içerir, ancak yöneticilerin yapması gereken ilk işlem, aygıtların sabit yazılımını düzeltme içeren bir aygıt yazılımına yükseltmektir. Dragos uzmanları, “Rockwell Automation, desteklenmeyen donanım serileri de dahil olmak üzere, etkilenen tüm ürünler için yamalar sağladı” dedi.
Ayrıca, etkilenen cihazlarda TCP/44818 ve UDP/2222 bağlantı noktalarına erişimi kısıtlamayı ve bu modülleri internetten ve diğer gereksiz ağlardan ayırmayı tavsiye ediyorlar.
Mümkünse CIP Soket Nesnesi devre dışı bırakılmalı ve kuruluşlar aşağıdakileri izlemeli diyorlar:
- ControlLogix iletişim modüllerinde uygulanan CIP nesnelerine yönelik beklenmeyen veya spesifikasyon dışı CIP paketleri
- CIP özellikli cihazlar için bir ağda bilinmeyen tarama
- Planlanmamış bellenim güncellemeleri veya mantıksal indirmeler
- Güvenli önyükleme seçeneklerinin beklenmedik şekilde devre dışı bırakılması
- İletişim modülü belleğine veya ürün yazılımına rastgele yazma
- Yaygın olmayan üretici yazılımı dosya adları
“APT’ye ait bir güvenlik açığını istismardan önce bilmek, kritik endüstriyel sektörler için proaktif savunma için nadir bir fırsattır. CVE-2023-3595 tarafından sağlanan erişim türü, XENOTIME tarafından TRISIS saldırısında kullanılan sıfır-gün erişimine benzer. CVE-2023-3595, ağ komutlarını işlemekten sorumlu bir iletişim modülünü hedeflese de, her ikisi de rastgele üretici yazılımı bellek manipülasyonuna izin verir. Ancak etkileri aynı” dediler.
“Ayrıca, her iki durumda da olay müdahalesi ve kurtarma için kullanılan bilgileri bozma potansiyeli mevcuttur. Saldırgan, kendilerini gizlemek ve kalıcı kalmak için potansiyel olarak sistemin herhangi bir bölümünün üzerine yazabilir veya olay yanıtı veya adli tıp bilgilerini toplamak için kullanılan arabirimler, tespit edilmekten kaçınmak için kötü amaçlı yazılım tarafından yakalanabilir. Bu tür bir güvenlik açığından yararlanmak, iletişim modülünü güvenilmez hale getirir ve hizmet dışı bırakılması ve analiz için satıcıya geri gönderilmesi gerekir.”