Amerikalı endüstriyel kontrol sistemleri (ICS) uzmanı Rockwell Automation, jeopolitik gerilimleri ve bilinen bir dizi yaygın güvenlik açığı ve risk nedeniyle donanımını hedef alan tehdit aktörü faaliyetlerindeki çarpıcı artışı gerekçe göstererek dünya çapındaki kullanıcılara ekipmanlarının halka açık internet bağlantısını kesmeleri çağrısında bulundu. (CVE’ler).
Milwaukee, Wisconsin merkezli firmanın uyarısına, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından yayınlanan ve kullanıcılara tavsiyelerine uymalarını tavsiye eden bir uyarı eşlik ediyor.
Firma, “Rockwell Automation bu bildirimi yayınlayarak tüm müşterilerini, genel internete bakan cihazları olup olmadığını değerlendirmek için derhal harekete geçmeye ve eğer öyleyse, özel olarak genel internet bağlantısı için tasarlanmamış cihazlar için bu bağlantıyı acilen kaldırmaya çağırıyor” dedi.
“Rockwell Automation’ın özel olarak kamuya açık internet bağlantısı için tasarlanmamış tüm cihazlara (örneğin, bulut ve uç teklifleri) ilişkin kılavuzuna uygun olarak, kullanıcılar varlıklarını asla halka açık internete doğrudan bağlanacak şekilde yapılandırmamalıdır.
Rockwell, “Proaktif bir adım olarak bu bağlantının kaldırılması, saldırı yüzeyini azaltır ve harici tehdit aktörlerinin yetkisiz ve kötü niyetli siber faaliyetlerine maruz kalma durumunu anında azaltabilir” diye ekledi.
Kuruluş ayrıca kullanıcıları çeşitli ürünlerdeki bilinen yedi güvenlik açığının giderilmesine özellikle dikkat etmeye çağırıyor.
Bu kusurlar Logix Denetleyicilerdeki CVE-2021-22681’dir; Studio 5000 Logix Designer’da CVE-2022-1159; Seçilmiş İletişim Modüllerinde CVE-2023-3595; FactoryTalk Hizmetleri Platformunda CVE-2023-46290; FactoryTalk View ME’de CVE-2023-21914; FactoryTalk Hizmet Platformunda CVE-2024-21915 ve yine FactoryTalk Hizmet Platformunda CVE-2024-21917. Bu güvenlik açıklarının ayrıntıları bağlantılı danışma belgesinde mevcuttur.
Qualys Tehdit Araştırma Birimi (TRU) Siber Tehdit Direktörü Ken Dunham şunları söyledi: “Rockwell Automation uyarısı, şu anda kamuya açık İnternet bağlantısıyla kurulu olan ve kendisi için tasarlanmayan herhangi bir cihazın derhal kaldırılmasını öneriyor. Bu sağduyulu görünebilir, ancak çoğu zaman ‘Merhaba, işe yarıyor’ dünyasında, kuruluşlar kendilerini donanım ve yazılımın tavsiye edilmeyen ve saldırılara karşı savunmasız olan şekillerde kurulduğu ve yapılandırıldığı bir durumda buluyor.”
Dunham, Rockwell müşterilerini yakından takip etmeye çağırarak şunları söyledi: “Otomatik endüstriyel kontrol sistemleri (ICS), özellikle değişkenliğin yüksek olduğu seçimler ve savaşlarla dolu bir yılda, kritik altyapıyı etkilemek isteyen düşmanların saldırıları için ana hedeftir.”
Forescout araştırma başkan yardımcısı Elisa Costante şunları ekledi: “On yıllardır süren çabalara rağmen, endüstriyel kontrol sistemleri aracılığıyla kritik altyapıya yönelik tehdit endişe verici derecede yüksek olmaya devam ediyor; Forescout Research – Vedere Labs, bu sistemleri operasyonel teknolojideki en riskli beşinci sistem olarak sıralıyor.
“Siber saldırılar, fiziksel sağlığımızı ve güvenliğimizi etkileyerek dijital ve fiziksel dünyalar arasında köprü oluştursa da, tavsiyeler çoğu zaman kapsamlı risk değerlendirmeleri sunma konusunda yetersiz kalıyor. Forescout kısa süre önce CVE kimliği olmayan 90.000 güvenlik açığını ortaya çıkardı ve ağa bağlı depolama (NAS), IP kameralar, bina otomasyon cihazları ve VoIP ekipmanlarını en çok istismar edilen OT ve IoT cihazları olarak belirledi.
“Artan OT tehditlerini azaltmak ve yönetilen ve yönetilmeyen tüm cihazların güvenliğini sağlamak için ağ merkezli savunma stratejilerini benimsememiz, cihazları güçlendirmemiz, ağları bölümlere ayırmamız ve sistemleri dikkatli bir şekilde izlememiz çok önemli. Şimdi bunu ele almanın ve olası bir kitlesel saldırıyı önlemenin zamanı geldi” dedi.
Rockwell’in uyarısı, siber güvenlik endüstrisinde, izinsiz giriş için kritik altyapı operasyonlarını (ICS teknolojisinin yoğun kullanıcılarını) hedef aldığı bilinen Çin’in Volt Typhoon’u gibi devlet destekli casusluk operasyonlarının faaliyetleri konusunda artan bir alarm hissinin olduğu bir dönemde geldi. ABD yetkililerine göre bu saldırı, jeopolitik durumun kötüleşmesi halinde büyük, çok yönlü bir siber saldırıya zemin hazırlıyor olabilir.
İlgili bir gelişmede, bugün Mandiant’taki araştırmacılar, operasyonel aktarma kutusu veya ORB ağlarının Çin devleti tehdit aktörleri tarafından artan şekilde kullanıldığını bildirdi.
ORB ağları, bir şekilde geleneksel botnet’lere benzer şekilde çalışan, büyük ölçüde yükleniciler tarafından kiralanan sanal özel sunuculardan ve güvenliği ihlal edilmiş nesnelerin interneti (IoT) cihazlarından ve hatta tüketici yönlendiricilerinden oluşan, kısa ömürlü, sık sık döngülenen ağlardır. Sık sık değiştirildikleri için, ORB ağları, bilinen bir IoC’nin kullanımının veya geçerliliğinin sona ermesi durumunda, sözde uzlaşma göstergesi (IoC) neslinin tükenmesini daha büyük bir endişe haline getirerek savunucuları ayak uydurmaya zorluyor.
Mandiant, ORB’lerin kendi başlarına yeni olmasa da, Çin siber casusluk camiasında coşkuyla benimsenmelerinin, gelişmiş ticari zanaatlara artan bir yatırıma işaret ettiğini söyledi.