BitSight TRACE’den siber güvenlik araştırmacıları, çeşitli kritik altyapılardaki yakıt depolama tanklarını yönetmek için önemli olan Otomatik Tank Ölçüm (ATG) sistemlerinde birden fazla 0 günlük güvenlik açığını ortaya çıkardı.
Beş tedarikçiye ait altı ATG sistemindeki bu güvenlik açıkları, kamu güvenliği ve ekonomik istikrar açısından önemli tehditler oluşturuyor.
Bu kusurlar kötü niyetli kişiler tarafından fiziksel hasara, çevresel tehlikelere ve ekonomik kayıplara yol açmak için kullanılabilir.
Kritik Altyapıda ATG Sistemlerinin Rolü
Otomatik Tank Ölçüm (ATG) sistemleri, depolama tanklarındaki ürün seviyesini, hacmini ve sıcaklığını otomatik olarak ölçmek ve kaydetmek için tasarlanmıştır.
Bu sistemler akaryakıt istasyonlarında kullanılmakta olup askeri üsler, hastaneler, havaalanları, acil servisler ve enerji santrallerinde yaygın olarak kullanılmaktadır.
Çevre düzenlemelerine uyumu sağlamada ve envanter yönetimini optimize etmede hayati öneme sahiptirler. Ancak internete maruz kalmaları onları siber saldırılara karşı savunmasız hedefler haline getirir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Güvenlik Açıklarının Ayrıntıları
BitSight TRACE tarafından yapılan araştırma, çeşitli ATG modellerinde 11 güvenlik açığı tespit etti. Bunlar arasında işletim sistemi komut enjeksiyonu, kimlik doğrulama atlamaları, sabit kodlanmış kimlik bilgileri ve SQL enjeksiyon güvenlik açıkları yer alıyor.
Her bir kusur, saldırganların ATG sistemleri üzerinde tam yönetimsel kontrole sahip olmasına olanak sağlıyor.
Güvenlik açıklarına, ciddiyetlerini vurgulayan kritik CVSS puanlarına sahip CVE tanımlayıcıları atandı: Otomatik Tank Ölçüm (ATG) sistemlerinde bulunan güvenlik açıklarına ilişkin CVE tablosu verilerinin bir özeti aşağıdadır:
Bu güvenlik açıkları, uzun zaman önce ele alınması gereken temel tasarım sorunlarını yansıtıyor.
Bu zaafların istismar edilmesi ciddi sonuçlara yol açabilir:
- Hizmet Reddi (DoS): Saldırganlar, ayarları yeniden yapılandırarak veya hatalı aygıt yazılımını yükleyerek ATG sistemlerini devre dışı bırakabilir.
- Fiziksel Hasar: Saldırganlar, tank geometrisi ve kapasitesi gibi kritik parametreleri değiştirerek yakıt sızıntısına neden olabilir veya alarmları devre dışı bırakabilir.
- Veri Hırsızlığı:Hassas operasyonel veriler yakalanabilir ve üçüncü taraflara satılabilir.
- Ağ Saldırısı: Savunmasız ATG sistemleri, iç ağlara yönelik gelecekteki saldırılar için giriş noktası görevi görebilir.
Bu senaryolar, bu sistemlerin istismardan korunması için artırılmış güvenlik önlemlerine acil ihtiyaç olduğunu vurgulamaktadır.
Azaltma için Koordineli Çabalar
BitSight, sorumlu bir açıklama yoluyla bu güvenlik açıklarını azaltmak için ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile yakın bir şekilde çalışıyor.
Etkilenen tedarikçilerle altı ay boyunca işbirliği yaparak iyileştirme stratejileri geliştirdiler.
CISA, kuruluşların ATG sistemlerini olası saldırılara karşı güvence altına almalarına yardımcı olmak için tavsiyeler yayınladı.
Bu güvenlik açıklarının keşfi, ATG’ler gibi endüstriyel kontrol sistemlerinde gelişmiş siber güvenlik uygulamalarına yönelik kritik ihtiyacı ortaya koyuyor.
Bu sistemler ulusal altyapının ayrılmaz bir parçasıdır, bu nedenle olası felaketleri önlemek için güvenliklerine öncelik verilmelidir. Kuruluşların ATG’leri internetten ayırmaları ve gelecekteki tehditlere karşı koruma sağlamak için sağlam güvenlik önlemleri uygulamaları teşvik edilmektedir.
Otomatik Tank Ölçüm Sisteminin GörüntüsüSektör “tasarıma göre güvenli” felsefesine doğru ilerlerken, üreticilerin ve operatörlerin bu güvenlik açıklarını gidermek ve kritik altyapıyı siber tehditlerden korumak için birlikte çalışmaları zorunludur.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free