Microsoft, Rockwell Automation’ın PanelView Plus cihazlarında iki önemli güvenlik açığı keşfetti ve açıkladı. Bu güvenlik açıkları, kimliği doğrulanmamış saldırganlar tarafından uzaktan istismar edilebilir ve bu sayede uzaktan kod çalıştırabilir ve hizmet reddi (DoS) saldırıları başlatabilirler.
Microsoft bulguları, bu insan-makine arayüzü (HMI) grafik terminallerinin yaygın olarak kullanıldığı endüstriyel alanda ciddi güvenlik açıklarını vurgulamaktadır. Microsoft’un bu keşfi, olası kesintilere karşı korunmak için endüstriyel otomasyon sistemlerinde sağlam güvenlik önlemlerine duyulan kritik ihtiyacı vurgulamaktadır.
RA PanelView Plus Cihazlarındaki Güvenlik Açıklarının Teknik Ayrıntıları
9,8 CVSS puanına sahip CVE-2023-2071 olarak tanımlanan Uzaktan Kod Yürütme (RCE) güvenlik açığı, cihaz içindeki iki özel sınıfın istismarını içerir. Saldırganlar, bu sınıfları kötü amaçlı bir DLL’yi yüklemek ve yürütmek için kötüye kullanabilir ve cihazın uzaktan kontrolünü etkili bir şekilde ele geçirebilir.
CVSS puanı 8.2 olan ve CVE-2023-29464 olarak etiketlenen DoS güvenlik açığı, cihazın işleyemeyeceği şekilde tasarlanmış bir arabelleği göndermek için aynı özel sınıfı kullanıyor ve sistem çökmesine yol açıyor.
“PanelView Plus’taki RCE güvenlik açığı, cihaza kötü amaçlı bir DLL yüklemek ve yüklemek için kötüye kullanılabilen iki özel sınıf içeriyor. DoS güvenlik açığı, cihazın düzgün bir şekilde işleyemediği hazırlanmış bir arabellek göndermek için aynı özel sınıftan yararlanıyor ve böylece bir DoS’a yol açıyor,” diyor Microsoft Blog.
Microsoft Keşif ve Açıklama Süreci
Microsoft’un Güvenlik Açığı Araştırma (MSVR) ekibi, bu güvenlik açıklarını titiz analizler yoluyla tespit etti ve bulgularını Mayıs ve Temmuz 2023’te Koordineli Güvenlik Açığı Açıklama (CVD) yoluyla Rockwell Automation ile paylaştı. Rockwell Automation derhal yanıt vererek uyarılar yayınladı ve Eylül ve Ekim 2023’te güvenlik yamaları yayımladı.
Blog’da şu ifadeler yer alıyor: “Bu bulguları Mayıs ve Temmuz 2023’te Microsoft Güvenlik Açığı Araştırması (MSVR) aracılığıyla Koordineli Güvenlik Açığı Açıklaması (CVD) aracılığıyla Rockwell Automation ile paylaştık. Rockwell, Eylül ve Ekim 2023’te iki duyuru yayınladı ve güvenlik yamaları yayımladı.”
PanelView Plus cihazları endüstriyel otomasyonda önemli bir rol oynar ve keşfedilen güvenlik açıklarını özellikle endişe verici hale getirir. Bu güvenlik açıklarından yararlanmak, saldırganların uzaktan kod yürütmesine izin verebilir ve bu da etkilenen kuruluşlar için operasyonel kesintilere ve önemli finansal kayıplara yol açabilir.
Microsoft, bu riskleri azaltmak için yayınlanan güvenlik yamalarının uygulanmasının önemini vurguluyor.
Microsoft Defender for IoT Araştırma Ekibinin Rolü
Microsoft Defender for IoT araştırma ekibinin temel sorumluluklarından biri, operasyonel teknoloji (OT) ve Nesnelerin İnterneti (IoT) protokollerinin kapsamlı analizini sağlamaktır.
Ekip, soruşturmaları sırasında Ortak Endüstriyel Protokol (CIP) üzerinden iletişim kuran iki cihaz arasında meşru bir paket yakalama gözlemledi. “ProductCode” adlı bir kayıt değerine giden bir yolu içeren şüpheli bir uzaktan kayıt sorgusu, olası güvenlik açıkları konusunda endişelere yol açtı.
Protokolün Ayrıntılı Analizi
CIP, endüstriyel otomasyon uygulamaları için tasarlanmış nesne yönelimli bir protokoldür. Mesajlar, Sınıf Kimlikleri ve Nesne Örneği Kimlikleri ile tanımlanan belirli nesnelere yönlendirilir. Protokol, nesne üzerinde gerçekleştirilecek eylemi belirten bir Hizmet Kodu içerir.
Microsoft’un analizi, gözlemlenen iletişimin satıcıya özgü Hizmet Kimliği ve Sınıf Kimliği değerlerini içerdiğini ortaya koydu ve bu durum HMI aygıt yazılımının daha fazla araştırılmasını gerektirdi.
Ürün Yazılımı Analizi ve Kullanım Yaklaşımı
PanelView Plus HMI’ları Windows 10 IoT (veya Windows CE’deki eski sürümler) işletim sisteminde çalışır. Microsoft ekibi, cihazın CIP isteklerini nasıl işlediğini anlamak için aygıt yazılımından ilgili DLL’leri ve yürütülebilir dosyaları çıkardı.
Belirli DLL’lerin kayıt defteri anahtarlarını okumaktan ve yazmaktan sorumlu özel CIP sınıflarını yönettiğini keşfettiler. Bu keşif, uzaktan kod yürütme için kullanılabilecek iki özel sınıfın tanımlanmasına yol açtı.
Özel Sınıflar ve Sömürü
İlk özel sınıf bir DLL yolu, işlev adı ve parametre kabul eder, DLL’yi yükler ve belirtilen işlevi yürütür. İşlev adlarını önceden tanımlanmış değerlerle sınırlayan bir doğrulama işlevine rağmen, Microsoft bu sınıfı istismar etmenin bir yolunu buldu. İkinci özel sınıf, daha az sıkı doğrulama ile cihazda dosyaların okunmasına ve yazılmasına izin vererek kötü amaçlı bir DLL’yi yüklemek için bir yol sağlar.
Microsoft, Windows 10 IoT ile uyumlu kötü amaçlı bir DLL derleyerek bir istismar yaklaşımı gösterdi. DLL’yi yüklemek için ikinci özel sınıfı kullandılar ve belirli bir klasöre yerleştirdiler. Daha sonra remotehelper.dll adlı DLL, ilk özel sınıf kullanılarak yürütüldü ve saldırganlara cihazın uzaktan kontrolünü sağladı. Bu kavram kanıtı, güvenlik açığının ciddiyetini ve istismar potansiyelini doğruladı.
Azaltma ve Koruma Önlemleri
Bu güvenlik açıklarıyla ilişkili riskleri azaltmak için Microsoft aşağıdaki önlemleri önermektedir:
- Yamaları Uygula: Etkilenen cihazların en son güvenlik yamalarıyla güncellendiğinden emin olun. Özellikle, belirlenen güvenlik açıklarını gidermek için PN1645 ve PN1652 yamalarını yükleyin.
- Ağ Segmentasyonu: PLC, yönlendirici ve PC gibi kritik cihazlarınızı internetten ayırın ve ağ segmentasyonunun uygun şekilde yapılmasını sağlayın.
- Giriş kontrolu: CIP cihazlarına erişimi yalnızca yetkili bileşenlerle sınırlayın.
- Araçları Kullanın: GitHub’da bulunan Rockwell Rslogix cihazlarının taranması ve adli incelemesi için Microsoft’un aracını kullanarak etkilenen cihazları belirleyin ve uygun şekilde güvenliğini sağlayın.
Microsoft’un bulguları ve bu güvenlik açıklarının ifşası, siber güvenlik topluluğunda işbirlikçi çabaların önemini vurgulamaktadır. Microsoft, ayrıntılı teknik içgörüler ve azaltma stratejileri paylaşarak endüstriyel otomasyon sistemlerinin güvenlik duruşunu güçlendirmeyi amaçlamaktadır.