ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rockwell Automation ControlLogix EtherNet/IP (ENIP) iletişim modülü modellerini etkileyen ve uzaktan kod yürütme ve hizmet reddi (DoS) elde etmek için istismar edilebilecek iki güvenlik açığı konusunda uyarıda bulundu.
“Bu güvenlik açıklarından yararlanmanın sonuçları ve etkisi, ControlLogix sistem yapılandırmasına bağlı olarak değişir, ancak bunlar, kontrolün reddedilmesine veya kaybedilmesine, görüşün reddedilmesine veya kaybına, operasyonel verilerin çalınmasına veya sistem üzerinde yıkıcı veya yıkıcı sonuçlar doğuracak şekilde kontrolün manipüle edilmesine yol açabilir. ControlLogix sisteminin sorumlu olduğu endüstriyel süreç,” dedi Draogos.
Kusurların listesi aşağıdaki gibidir –
- CVE-2023-3595 (CVSS puanı: 9,8) – 1756 EN2* ve 1756 EN3* ürünlerini etkileyen, kötü amaçlarla oluşturulmuş ortak endüstriyel protokol (CIP) mesajları aracılığıyla hedef sistemde kalıcılıkla rastgele kod yürütülmesine neden olabilecek bir sınır dışı yazma kusuru.
- CVE-2023-3596 (CVSS puanı: 7,5) – 1756 EN4* ürünlerini etkileyen ve kötü amaçlarla oluşturulmuş CIP mesajları yoluyla bir DoS durumuna yol açabilecek bir sınır dışı yazma kusuru.
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli aktörlerin modülün çalışan belleğine uzaktan erişim kazanmasına ve kötü niyetli faaliyetler gerçekleştirmesine izin verebilir.” Dedi.
Daha da kötüsü, kusurlar, potansiyel olarak sistemin herhangi bir parçasının üzerine yazarak radarın altında uçmak ve kalıcı kalmak için kötüye kullanılabilir, modülü güvenilmez kılmaktan bahsetmiyorum bile.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Etkilenen cihazlar şunlardır: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 1 756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK ve 1756-EN4TRXT. Yamalar, sorunları çözmek için Rockwell Automation tarafından kullanıma sunulmuştur.
Endüstriyel siber güvenlik şirketi, “CVE-2023-3595 tarafından sağlanan erişim türü, XENOTIME tarafından TRISIS saldırısında kullanılan sıfır güne benzer” dedi. “CVE-2023-3595, ağ komutlarını işlemekten sorumlu bir iletişim modülünü hedeflese de, her ikisi de rasgele üretici yazılımı bellek manipülasyonuna izin verir. Ancak, etkileri aynıdır.”
TRITON olarak da bilinen TRISIS, daha önce Schneider Electric’in petrol ve gaz tesislerinde kullanılan Triconex güvenlik enstrümanlı sistem (SIS) kontrol cihazlarını hedef aldığı gözlemlenen bir endüstriyel kontrol sistemleri (ICS) kötü amaçlı yazılımıdır. Dragos ve Mandiant’a göre, Suudi Arabistan’daki bir petrokimya tesisi 2017’nin sonlarında kurban olarak keşfedildi.
Dragos, tanımlanmış bir ulus-devlet grubuyla ilişkili “bu güvenlik açıklarından yararlanan yayınlanmamış bir yararlanma yeteneği” keşfettiğini ve 2023 Temmuz ayı ortası itibarıyla “vahşi ortamda ve hedeflenen kurban kuruluşlar ve sektör dikeylerinde sömürü olduğuna dair hiçbir kanıt bulunmadığı” konusunda uyardı. bilinmiyordu.”
Tenable araştırmacısı Satnam Narang, CVE-2023’ten “Savunmasız modülün kendisini tehlikeye atmasına ek olarak, güvenlik açığı bir saldırganın endüstriyel süreci ve altta yatan kritik altyapıyı etkilemesine izin verebilir, bu da olası kesinti veya yıkıma neden olabilir.” -3595.