Rockwell Automation’ın Logix kontrolörlerindeki bir güvenlik açığı vurgulandı. CVE-2024-6242 olarak tanımlanan bu güvenlik atlama açığı, programlanabilir mantık kontrolörleri (PLC’ler) Logix ailesindeki çeşitli modelleri etkiliyor ve dünya çapında endüstriyel otomasyon sistemleri için önemli bir risk oluşturuyor.
Özellikle, birçok endüstriyel kontrol sisteminin ayrılmaz bir parçası olan ControlLogix 1756 şasisinin Güvenilir Yuva özelliğindeki bir zayıflıktan yararlanıyor.
Rockwell Automation Güvenlik Baypas Güvenlik Açığının Kodunu Çözme
Rockwell Automation Logix kontrolörü, güvenilmeyen iletişim kanallarının PLC’nin merkezi işlem birimi (CPU) ile etkileşime girmesini önlemek için tasarlanmıştır. Ancak, kusur bir saldırganın bu korumayı atlatmasına ve potansiyel olarak kullanıcı projelerinde ve cihaz yapılandırmalarında yetkisiz değişiklikler yapılmasına olanak tanır.
Claroty’nin 1 Ağustos 2024’te yayınlanan ayrıntılı analizi, etkilenen 1756 şasisine erişimi olan bir saldırganın bu güvenlik açığını istismar etme potansiyelini vurguluyor. Bu kusur, saldırganların Trusted Slot güvenliğini atlatarak PLC CPU’ya ayarları değiştirebilen veya yetkisiz programlar ekleyebilen komutlar göndermesine olanak tanır.
Güvenlik atlama açığı, sırasıyla V28 ve V31’e kadar aygıt yazılımı sürümlerine sahip ControlLogix® 5580 (1756-L8z) ve GuardLogix 5580 (1756-L8zS) dahil olmak üzere çeşitli Rockwell Automation ürünlerini etkiler. Bu sorunlar V32.016, V33.015, V34.014 ve V35.011 veya üzeri aygıt yazılımı sürümlerinde çözülmüştür. V2 sürümüne sahip 1756-EN4TR de etkilenmiştir ancak V5.001 ve üzeri sürümlerde düzeltilmiştir.
1756-EN2T, 1756-EN2F, 1756-EN2TR ve 1756-EN3TR’nin A/B/C Serisi modellerinde düzeltmeler bulunmuyor ve D veya C Serisine yükseltilmesi öneriliyor. Yükseltme yapamayanlar için Rockwell Automation, güvenlik atlama açığının olası istismarını önlemek amacıyla RUN modu anahtar seti aracılığıyla CIP komutlarını sınırlandırarak riski azaltmayı öneriyor.
Teknik Detaylar ve Risk Değerlendirmesi
CISA’nın CVE-2024-6242 duyurusunda belirtildiği gibi, bu kusur bir saldırganın şasi içindeki yerel arka panel yuvaları arasında atlamak için CIP protokolünü kullanmasına olanak tanır. Bu, amaçlanan güvenlik sınırını atlatmakla sonuçlanır ve güvenilmeyen bir ağ kartından CPU ile iletişime izin verir.
CVE-2024-6242, CVSS v3.1 Temel Puanı 8.4/10 ve CVSS v4.0 Temel Puanı 7.3/10 olarak derecelendirilmiştir. Güvenlik açığı CWE-420: Korunmasız Alternatif Kanal altında kategorize edilmiştir. CVSS v3.1 vektörü, erişim vektörü, saldırı karmaşıklığı, gereken ayrıcalık ve diğerleri için ölçümler içerirken, CVSS v4.0 vektörü saldırı türü, sürüm karmaşıklığı ve güvenlik etkisi için ek ölçümler içerir.
Rockwell Automation’ın ControlLogix 1756 serisi, yüksek performanslı endüstriyel otomasyon için sağlam bir platform, iletişim için CIP protokolünü kullanır. Bu protokol, bir ağ içindeki sensörler, aktüatörler ve kontrolörler gibi cihazlar arasında veri alışverişini kolaylaştırır. 1756 şasisi, cihaz birlikte çalışabilirliği için önemli olan çeşitli G/Ç modülleri ve iletişim işlemcilerini barındıran modüler bir muhafaza görevi görür.
Azaltma Stratejileri
CVE-2024-6242’yi ele almak için Rockwell Automation, etkilenen ürünlerin en son aygıt yazılımı sürümlerine güncellenmesini öneriyor. Yükseltilemeyen cihazlara sahip kullanıcılar aşağıdaki azaltma stratejilerini uygulamalıdır:
Rockwell Automation’ın Logix kontrol cihazlarında yakın zamanda ortaya çıkan güvenlik açığından kaynaklanan istismar riskini azaltmak için, mod anahtarını RUN konumuna getirerek CIP komutlarını sınırlamanız ve kontrol sistemlerinin internet üzerinden erişilebilir olmamasını sağlayarak ağ riskini en aza indirmeniz önerilir.
Kontrol sistemi ağlarını iş ağlarından izole etmek için güvenlik duvarları kullanılması ve güvenli uzaktan erişim için güncellenmiş Sanal Özel Ağlar (VPN’ler) kullanılması da önerilir. Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), herhangi bir savunma önlemi uygulamadan önce kapsamlı etki analizi ve risk değerlendirmesi yapmanın önemini vurgular.
Gelecekteki tehdit tespiti için, CVE-2024-6242’ye benzer güvenlik açıklarını istismar etme girişimlerini gösterebilecek şüpheli CIP yönlendirme davranışlarını belirlemek üzere yeni bir Snort kuralı tanıtıldı. Bu kural, yerel şasi yönlendirmelerini içeren anormal CIP Forward Open İsteklerini izleyerek olası tehditleri tespit etme ve bunlara yanıt verme yeteneğini artıracaktır.
Genel olarak, bu güvenlik açığının keşfi, kuruluşların güncel aygıt yazılımı ve sağlam güvenlik uygulamalarını sürdürmeleri için kritik bir ihtiyaç olduğunu vurgulamaktadır. Etkilenen kullanıcılar, endüstriyel kontrol sistemlerindeki gelişen tehditlere karşı korunmak için yamaları veya hafifletmeleri derhal uygulamalı ve siber güvenlik en iyi uygulamalarını takip etmede dikkatli olmalıdır.