Rockwell Automation, isimsiz bir Gelişmiş Kalıcı Tehdit (APT) grubuna bağlı yeni bir uzaktan kod yürütme (RCE) istismarının imalat, elektrik, petrol ve gaz ve sıvılaştırılmış doğal gaz endüstrilerinde yaygın olarak kullanılan yama uygulanmamış ControlLogix iletişim modüllerini hedeflemek için kullanılabileceğini söylüyor.
Şirket, APT tehdit aktörleriyle bağlantılı açıkları analiz etmek için ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ile işbirliği yaptı, ancak bunu nasıl elde ettiklerini henüz paylaşmadılar.
Şirket, yalnızca oturum açtıktan sonra erişilebilen bir güvenlik danışma belgesinde, “Rockwell Automation, ABD hükümeti ile koordinasyon halinde, belirli iletişim modüllerini etkileyen Gelişmiş Kalıcı Tehdit (APT) aktörlerine atfedilen yeni bir istismar yeteneğini analiz etti.” dedi.
“Bu yeteneği kullanan mevcut sömürünün farkında değiliz ve amaçlanan mağduriyet belirsizliğini koruyor.”
Hedeflenen güvenlik açığı (CVE-2023-3595 olarak izlenir), saldırganların kötü amaçlarla oluşturulmuş CIP mesajları yoluyla uzaktan kod yürütmesine veya hizmet reddi durumlarını tetiklemesine olanak tanıyan sınırların dışında yazma zayıflığından kaynaklanır.
Başarılı bir istismarın ardından, kötü niyetli aktörler ayrıca modülün donanım yazılımını manipüle edebilir, modül belleğini silebilir, modüle giden ve modülden gelen veri trafiğini değiştirebilir, kalıcı kontrol sağlayabilir ve potansiyel olarak desteklediği endüstriyel süreci etkileyebilir.
Rockwell, “Bu, kritik altyapı da dahil olmak üzere savunmasız modüllerin kurulu olduğu yerlerde yıkıcı eylemlere neden olabilir” diye ekledi.
Müşterilerden etkilenen tüm ürünlere yama yapmaları istendi
Rockwell, etkilenen tüm ürünler için (destek dışı olanlar dahil) yayınladığı güvenlik yamalarının uygulanmasını şiddetle tavsiye eder. Ayrıca, savunucuların ağlarındaki suistimal girişimlerini tespit etmelerine yardımcı olacak tespit kuralları sağlar.
CISA ayrıca, Rockwell müşterilerini potansiyel gelen saldırıları engellemek için kritik RCE güvenlik açığını düzeltmeleri konusunda uyaran bir tavsiye yayınladı.
APT istismarını da analiz eden endüstriyel siber güvenlik firması Dragos, “APT’ye ait bir güvenlik açığını istismardan önce bilmek, kritik endüstriyel sektörler için proaktif savunma için nadir bir fırsattır” dedi.
Dragos Kıdemli Tehdit Analisti Kevin Woolf, BleepingComputer’a “Bilinmeyen bir APT’ye ait bir açık olduğunu biliyoruz ve vahşi ortamda herhangi bir istismar görmedik ve farkında değiliz” dedi.
Dragos’a göre, CVE-2023-3595 güvenlik açığı tarafından kolaylaştırılan erişim düzeyi, Rusya bağlantılı XENOTIME tehdit grubu tarafından istismar edilen ve Schneider Electric Triconex ICS ekipmanına karşı TRISIS (diğer adıyla TRITON) yıkıcı kötü amaçlı yazılımına benzer. 2017 saldırıları.
Rockwell ayrıca, “Endüstriyel sistemleri içeren önceki tehdit aktörlerinin siber faaliyetleri, bu yeteneklerin kritik altyapıyı hedeflemek amacıyla geliştirildiğini ve kurban kapsamının uluslararası müşterileri de içerebileceğini gösteriyor.”
“Tehdit etkinliği değişebilir ve etkilenen ürünleri kullanan müşteriler, maruz kalmaları halinde ciddi risklerle karşı karşıya kalabilir.”