Siber güvenlik araştırmacıları, siber güvenliği etkileyen iki kritik güvenlik açığını ortaya çıkardı. Kırmızı Aslan SixneBaşarıyla kullanılması durumunda en yüksek ayrıcalıklarla kod yürütülmesine yol açabilecek uzak terminal birimi (RTU) ürünleri.
Takip edilen eksiklikler CVE-2023-40151 Ve CVE-2023-42770her ikisi de CVSS puanlama sisteminde 10,0 olarak derecelendirilmiştir.
Claroty Team 82 araştırmacıları Salı günü yayınlanan bir raporda, “Güvenlik açıkları Red Lion SixTRAK ve VersaTRAK RTU’ları etkiliyor ve kimliği doğrulanmamış bir saldırganın kök ayrıcalıklarıyla komutları yürütmesine izin veriyor.” dedi.
Red Lion’un Sixnet RTU’ları, başta enerji, su ve atık su arıtma, ulaşım, kamu hizmetleri ve imalat sektörleri olmak üzere endüstriyel otomasyon ve kontrol sistemlerinde gelişmiş otomasyon, kontrol ve veri toplama yetenekleri sağlar.
Bu endüstriyel cihazlar, kit ile RTU’lar arasındaki iletişimi sağlamak ve arayüz oluşturmak için kullanılan özel bir Sixnet “Evrensel” protokolü ile Sixnet IO Tool Kit adı verilen bir Windows yardımcı programı kullanılarak yapılandırılır.
Bu mekanizmanın üzerinde, UDP protokolü üzerinden dosya yönetimini desteklemek, istasyon bilgilerini ayarlamak/almak, Linux çekirdeğini ve önyükleme sürümünü edinmek ve diğerlerini desteklemek için bir kullanıcı izin sistemi de mevcuttur.
Claroty tarafından belirlenen iki güvenlik açığı aşağıda listelenmiştir:
- CVE-2023-42770 – Sixnet RTU yazılımının UDP ve TCP’de aynı bağlantı noktasını (sayı 1594) dinlemesi sonucu ortaya çıkan ve yalnızca UDP üzerinden kimlik doğrulama sorgulaması isteyen, TCP üzerinden gelen mesajı herhangi bir kimlik doğrulama istemeden kabul eden bir kimlik doğrulama bypass’ı
- CVE-2023-40151 – Kök ayrıcalıklarıyla rastgele kod çalıştırmak için Sixnet Universal Driver’ın (UDR) yerleşik Linux kabuk komut yürütme desteğini kullanan bir uzaktan kod yürütme güvenlik açığı
Sonuç olarak, bir saldırgan, komutları çalıştırmak ve uzaktan kod yürütmeyi gerçekleştirmek için her iki kusuru da kimlik doğrulama korumalarından kaçınmak üzere zincirleyebilir.
Red Lion, Haziran 2025’te yayınlanan bir danışma belgesinde “Kimliği doğrulanmış kullanıcıların etkin olduğu (UDR-A) Red Lion SixTRAK ve VersaTRAK Serisi RTU’larda, TCP/IP üzerinden alınan herhangi bir Sixnet UDR mesajında, RTU, kimlik doğrulama sorgusu olmadan mesajı kabul edecektir” dedi. “Kullanıcı kimlik doğrulaması etkinleştirilmediğinde, kabuk, en yüksek ayrıcalıklara sahip komutları çalıştırabilir.”
Kullanıcıların bu iki güvenlik açığına yönelik yamaları mümkün olan en kısa sürede uygulamaları önerilir. Ayrıca Red Lion RTU’da kullanıcı kimlik doğrulamasının etkinleştirilmesi ve etkilenen RTU’lara TCP üzerinden erişimin engellenmesi de önerilir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Kasım 2023’te yayınladığı bir uyarıya göre kusurlar aşağıdaki ürünleri etkiliyor:
- ST-IPm-8460: Firmware 6.0.202 ve üzeri
- ST-IPm-6350: Firmware sürümü 4.9.114 ve üzeri
- VT-mIPm-135-D: Firmware sürümü 4.9.114 ve üzeri
- VT-mIPm-245-D: Firmware sürümü 4.9.114 ve üzeri
- VT-IPm2m-213-D: Firmware sürümü 4.9.114 ve üzeri
- VT-IPm2m-113-D: Firmware sürümü 4.9.114 ve üzeri
Claroty, “Red Lion’un RTU’ları birçok endüstriyel otomasyon ortamında öne çıkıyor ve cihazlara erişimi olan ve komutları kökten çalıştırabilen bir saldırgan, sürecin kesintiye uğraması veya zarar görmesi açısından önemli olasılıklar sunuyor” dedi.