Yönetim ve Risk Yönetimi, Operasyonel Teknoloji (OT), Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VA/PT)
Claroty, Saldırganların Güvenilir Slot Özelliğini Atlatmak İçin Güvenlik Açığını Kullanabileceğini Söyledi
Prajeet Nair (@prajeetskonuşuyor) •
5 Ağustos 2024
Rockwell Automation’ın ControlLogix 1756 cihazlarındaki bir güvenlik açığı, saldırganların kritik bir güvenlik özelliğini atlatmasına olanak tanıyor ve güvenilir yuva mekanizmasını, bilgisayar korsanlarının yuvalar arasında geçiş yaparak endüstriyel kontrol sistemlerine erişmesini sağlayan gizli bir geçide dönüştürüyor.
Ayrıca bakınız: OnDemand | Güvenlik Çerçevelerini Görev Kritik Varlıklarınıza Eşleme – Hindistan Yönergelerine Odaklanma
Operasyonel teknoloji güvenlik firması Claroty’nin Team82’sindeki güvenlik araştırmacıları, saldırganların yerel şasi içindeki güvenlik politikalarını uygulayan mekanizmayı istismar etmesine olanak tanıyan Rockwell Automation cihazındaki açığı ortaya çıkardı.
Rockwell Automation’ın ControlLogix 1756, yüksek performanslı, ölçeklenebilir otomasyon uygulamaları için endüstriyel ortamlarda yaygın olarak kullanılan bir dizi programlanabilir otomasyon kontrol cihazıdır. Bu kontrol cihazları, endüstriyel ağlardaki cihazlar arasında veri alışverişi için standartlaştırılmış bir protokol olan Ortak Endüstriyel Protokol üzerinden iletişim kurar. Claroty, bir kontrol cihazı tehlikeye atıldığında saldırganların yerel arka panel yuvaları arasında hareket etmek için CIP yönlendirmesini kullanabileceğini söyledi.
1756 kasasında çeşitli G/Ç modülleri, denetleyiciler ve iletişim işlemcilerini barındıran yuvalar bulunuyor; bunların hepsi bir arka panel aracılığıyla birbirine bağlanıyor ve bu da iletişimi ve veri alışverişini kolaylaştırıyor.
Araştırmacılar, ControlLogix 1756 cihazlarının güvenilir yuva özelliğinde CVE-2024-6242 olarak izlenen bir güvenlik açığı buldular. Bu özellik, yerel şasideki güvenilmeyen yollardan gelen iletişimi engellemek ve yalnızca yetkili yuvaların denetleyiciyle etkileşime girebilmesini sağlamak için tasarlanmıştır.
Araştırmacılar, arka paneldeki iletişim rotasını, yoldaki yuva numaralarını belirterek tanımlayan CIP yönlendirmesinden yararlanarak bu güvenlik mekanizmasını aşmanın bir yolunu ortaya koydular.
Araştırmacılar, cihaza ağ erişimi olan bir saldırganın, bu güvenlik açığını kullanarak 1756 kasası içindeki yerel arka panel yuvaları arasında atlayabileceğini ve böylece CPU’yu güvenilmeyen kartlardan korumak için tasarlanan güvenlik sınırını etkili bir şekilde aşabileceğini gösterdi.
CPU’ya ulaşmadan önce güvenilir bir yuvadan geçen bir CIP paketi oluşturarak, saldırgan güvenilir yuva korumasını aşabilir ve PLC CPU’suna mantık indirme gibi üst düzey komutlar gönderebilir.
Bu istismar, CPU’nun tüm yuva zinciri yerine yalnızca yönlendirme yolundaki son yuvayı kontrol ettiği CIP protokolündeki bir sınırlamadan kaynaklanmaktadır. Sonuç olarak, saldırganlar iletişimlerini güvenilir bir yuvadan geliyormuş gibi gizleyebilir, güvenilmeyen bir ağ kartının arkasında olsalar bile. Bu, saldırganların genellikle yetkili cihazlara ayrılmış komutlar vermelerine olanak tanır ve potansiyel olarak endüstriyel kontrol sisteminin bütünlüğünü ve güvenliğini tehlikeye atar.
Rockwell Automation, bu güvenlik açığının ciddiyetini kabul etti ve CVE-2024-6242 için bir düzeltme yayınlayarak, buna yüksek risk seviyesini gösteren 8,4’lük bir CVSSv3 puanı atadı.
ControlLogix, GuardLogix ve 1756 ControlLogix G/Ç Modülleri kullanıcılarının bu güvenlik açığıyla ilişkili riski azaltmak için bu düzeltmeyi derhal uygulamaları şiddetle tavsiye edilir. Ayrıca, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı daha fazla azaltma tavsiyesi içeren bir danışma yayınladı.
Araştırmacılar, ControlLogix 1756 cihazlarının birçok endüstriyel otomasyon sisteminin ayrılmaz bir parçası olduğunu ve çeşitli uygulamalarda kritik kontrol ve iletişim işlevleri sağladığını söyledi.
Güvenilir yuva özelliğindeki açık, amaçlanan güvenlik önlemlerini atlatarak PLC CPU’suna yetkisiz komutların iletilmesine olanak tanıyabilir.
Bu cihazları kullanan kuruluşların gerekli güncellemeleri yapması ve endüstriyel otomasyon sistemlerini olası tehditlerden korumak için uyanık olması gerekmektedir.