Rockwell Automation’ın endüstriyel programlanabilir mantık denetleyicilerindeki (PLC’ler) iki güvenlik açığı, kritik altyapıyı ve endüstriyel ortamları kesintiyle tehdit ediyor.
Bu güvenlik açıklarının her ikisi de, operasyonel teknoloji ekipmanlarını fiziksel olarak kontrol etmek için kullanılan ve kötü niyetli ortak endüstriyel protokol (CIP) mesajları yoluyla tetiklenebilen PLC’lerin iletişim modüllerinde bulunur.
Birincisi kritik bir hata olan CVE-2023-3595 (10 üzerinden 9,8 CVSS puanı), tehdit aktörlerinin ürün yazılımı belleğini kullanmasına, kalıcı olarak uzaktan kod yürütmesine (RCE) ve değiştirmesine, reddetmesine ve hatta değiştirmesine olanak tanır. PLC’den akan verileri çekerek ekipman performansını etkiler. İkincisi, CVE-2023-3596 (CVSS 7.5), cihazı çalışmaz hale getirecek bir hizmet reddi (DoS) koşulunu tetiklemek için kullanılabilir.
Siber saldırganların kendilerini bir PLC’ye yerleştirmeleri ve bir saldırı gerçekleştirmeyi seçene kadar fark edilmeden gizlenmeleri de mümkündür. Dragos uzmanları, “Her iki durumda da, olaya müdahale ve kurtarma için kullanılan bilgileri bozma potansiyeli vardır.” “Saldırgan, kendilerini gizlemek ve kalıcı kalmak için potansiyel olarak sistemin herhangi bir bölümünün üzerine yazabilir veya olay yanıtı veya adli tıp bilgilerini toplamak için kullanılan arabirimler, tespit edilmekten kaçınmak için kötü amaçlı yazılım tarafından yakalanabilir.”
Artık savunmasız olan iletişim modülleri, enerji ve ulaşım da dahil olmak üzere farklı sektörlerdeki çeşitli kuruluşlar tarafından kullanılıyor ve kuruluşlar yamaları mümkün olan en kısa sürede uygulamalıdır. Rockwell, etkilenen tüm ürünler için, hatta destek dışı kalan donanımlar için yamalar sağladı.
Kullanıcılar, CISA ve Rockwell Automation tavsiyelerinde etkilenen ürünlerin bir listesini ve hafifletme ve tespit etme tavsiyelerini bulabilir.