Yönetim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Bilgisayar Korsanları Tankların Taşmasına ve Sızıntı Tespitinin Devre Dışı Kalmasına Neden Olabilir
Prajeet Nair (@prajeetskonuşuyor) •
26 Eylül 2024
Günlük hayatta akaryakıt istasyonlarında kullanılanlar da dahil olmak üzere yakıt depolama tanklarını izlemek için farklı üreticiler tarafından üretilen endüstriyel kontrol sistemleri, fiziksel hasara yol açan siber saldırıların hedefi haline gelebilecek kritik sıfır-günler içeriyor.
Ayrıca bakınız: MDR Yönetici Raporu
Otomatik tank ölçüm sistemlerindeki güvenlik hataları, saldırganların sızıntı tespitini devre dışı bırakmasına ve taşmalara neden olarak çevresel tehlikelere ve mali kayıplara yol açabileceğini BitSight araştırmacıları buldu. ATG’ler benzin istasyonlarının yanı sıra askeri üslerde, hastanelerde ve enerji santrallerinde de kullanılıyor.
Araştırmacılar, ATG sistemlerinin altı modelinde yayılmış 11 güvenlik açığı buldu. Kusurlar arasında yansıyan siteler arası betik çalıştırma ve kimlik doğrulama atlamaları, komut enjeksiyon sorunları, sabit kodlu yönetici kimlik bilgileri ve saldırganlara tam sistem erişimi sağlayan keyfi dosya okumaları yer alıyor.
BitSight, Salı günü bir uyarı yayınlayan ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ile işbirliği yaparak kusurları bildirdi.
Bu uyarı, ATG sistemlerinin güvensizliğine ilişkin devam eden uyarı dizisinden biridir. 2015’in başlarında yapılan önceki araştırmalar, bu sistemleri uygun güvenlik önlemleri olmadan internete açık bırakmanın risklerini vurgulamıştır.
Benzer güvenlik açıkları hakkındaki önceki uyarılara rağmen, binlerce ATG sistemine internet üzerinden erişilebiliyor. Araştırmacılar, bu sistemlerde yaygın olarak kullanılan iletişim standardının temelde güvensiz olduğunu ve başlangıçta seri RS-232 arayüzleri için tasarlandığını ve daha sonra TCP/IP ağları için uyarlandığını söyledi. Uygun güvenlik önlemleri olmadan ağ bağlantısına geçiş, bu sistemleri çok çeşitli saldırılara karşı savunmasız bıraktı.
ATG iletişim protokolünde, harici seri erişimi sınırlamak için altı basamaklı bir kod için bir alan var, ancak BitSight’ın söylediğine göre alan “hem isteğe bağlı hem de yetersiz”. Kod varsayılan olarak açık değil ve yöneticiler açtığında bile, altı basamaklı maksimum değer yalnızca 1 milyon kombinasyon olasılığı olduğu anlamına geliyor ve bu da kodların modern bilgisayarlar tarafından kolayca tahmin edilebilir olmasını sağlıyor.
Araştırmacılar, ATG sistemleri kullanan kuruluşların sistemlerini olası istismarlardan korumak için ek adımlar atmaları konusunda uyardılar. ATG sistemlerinin genel internetten bağlantısını kesmeyi, daha sıkı erişim kontrolleri uygulamayı ve saldırı yüzeyini azaltmak ve yetkisiz erişimi engellemek için ağ segmentasyonu uygulamayı öneriyorlar.