Araştırmacılar, Bosch Rexroth tarafından üretilen “akıllı” kablosuz somun sıkma makinelerinde (yani pnömatik tork anahtarlarında), cihazları çalışmaz hale getirmek veya çıktılarını güvenilmez hale getirmek için kullanılabilecek iki düzineden fazla güvenlik açığı keşfettiler.
“Bir üreticinin kullanımına ve iş konfigürasyonuna bağlı olarak, somun sıkıcı gibi cihazlar bir kuruluştaki kalite yönetimi ve güvence programının kritik bir parçasını, hatta muhtemelen kalite güvencesinin son hattını bile oluşturabilir. Nozomi Networks araştırmacıları, kalite zincirindeki bu son halkadaki bütünlükten ödün verilmesinin tespit edilmesi zor olabileceğini ve geniş kapsamlı mali sonuçlara yol açabileceğini belirtti.
Bosch Rexroth cihazlarındaki güvenlik açıkları (CVE-2023-48242 – CVE-2023-48266)
Bosch Rexroth NXA015S-36V-B somun sıkıcının güvenlik durumunu inceledikten ve cihazın yönetim web uygulamasını ve iletişim protokollerini ayrıştıran hizmetleri etkileyen 25 güvenlik açığını keşfettikten sonra araştırmacılar, laboratuvarlarında iki saldırı senaryosunu başarıyla test etti:
- Özel fidye yazılımının dağıtımı (cihazların işletim sistemi için özel olarak tasarlanmıştır) ve
- Sıkma programlarının düzenli olarak değiştirilmesi (yerleşik ekranı değiştirirken)
“Yerel bir operatörün matkabı yerleşik ekrandan kontrol etmesini ve tetik düğmesini devre dışı bırakmasını önleyerek cihazı tamamen çalışmaz hale getirmeyi başardık. Ayrıca, grafik kullanıcı arayüzünü (GUI) ekranda rastgele bir mesaj görüntüleyecek ve fidye ödenmesini talep edecek şekilde değiştirebiliriz.” diye paylaştı araştırmacılar.
“Bu saldırının çok sayıda cihazda otomatikleştirilebilmesinin kolaylığı göz önüne alındığında, bir saldırgan üretim hattındaki tüm araçları hızlı bir şekilde erişilemez hale getirebilir ve potansiyel olarak nihai varlık sahibi için önemli kesintilere neden olabilir.”
PoC fidye yazılımı test somun sıkıcısında çalışıyor. (Kaynak: Nozomi Ağları)
Sıkma programlarına gizlice müdahale etmek aynı zamanda potansiyel sağlık ve güvenlik riskleri de taşır: Alaska Havayolları tarafından işletilen bir Boeing 737 Max 9 uçağının dahil olduğu son uçuş sırasındaki acil durumun gösterdiği gibi, yeterince sıkılmamış cıvatalar son derece tehlikeli durumlara yol açabilir.
Bosch Rexroth NXA015S-36V-B somun sıkıcı, kullanıcıların yönetim web uygulaması aracılığıyla sıkma programları oluşturup yapılandırmasına ve sıkma durumlarını analiz edip teşhis etmesine olanak tanıyan Linux tabanlı bir işletim sistemi olan NEXO-OS tarafından desteklenmektedir. Yerleşik bir ekrana sahiptir ve yerleşik bir Wi-Fi modülü aracılığıyla kablosuz ağlara bağlanır.
Cihaz, kendisini SCADA sistemleri, PLC’ler veya diğer üretim cihazlarıyla entegre etmek için kullanılan bir dizi iletişim protokolünü destekler.
“Bekliyoruz [these devices] Nozomi araştırmacıları, telemetri verilerinin otomatik olarak toplanması ve diğer OT sistemleriyle (örneğin PLC’ler) entegrasyon için genellikle OT ağına bağlanacağını, ancak (diğer OT cihazlarında yaygın olduğu için) internete açık olmayacağını söyledi. Net Security’ye yardım edin. Ancak yönetim web uygulamasının varsayılan olarak internette gösterildiğini söylüyorlar.
Ayrıca bize, güvenlik açıklarının çoğunun uzaktan yararlanılabilir olduğunu, bir saldırganın savunmasız cihazları tehlikeye atmak için aynı alt ağda bulunmasına gerek olmadığını da söylediler.
Ne yapalım?
Bosch Rexroth somun sıkıcılar otomotiv üretim hatlarında yaygın olarak kullanılmaktadır. Kararlı tehdit aktörleri, üretimi durdurmak veya üretilen ürünlerin kalitesini etkilemek için güvenlik açıklarından yararlanabilir; bu da gecikmelere, ürün geri çağırmalarına, itibarın zarar görmesine, kazalara vb. yol açabilir.
Bu güvenlik açıklarının tehdit aktörleri tarafından istismar edildiğinden bahsedilmiyor ancak teknik ayrıntılar ve güncellenmiş ürün yazılımı kullanıma sunulduğunda, bazı girişimci ve yetenekli saldırganların aynı araştırmayı yapıp keşfettiklerini kullanmayı karlı bulma ihtimali var.
Bosch Rexroth tarafından da onaylandığı üzere güvenlik açıkları, NXA, NXP ve NXV serisi Nexo kablosuz somun sıkma makinelerinin yanı sıra bir dizi başka benzer cihazı da etkiliyor.
Şimdilik Nozomi, güvenlik açıklarıyla ilgili teknik ayrıntıları yayınlamaktan kaçındı. Bosch Rexroth, güvenlik açıklarının yaklaşık yarısının bu ayın sonlarında yayınlanacak güncellenmiş cihaz yazılımı sürümünde düzeltileceğini söylüyor ve CVE-2023-48257 için hafifletme tavsiyeleri sağlıyor (“Kullanıcılar dosya depolama alanının uygun şekilde korunmasını sağlamalıdır.” )
Araştırmacılar, cihazın ağ erişilebilirliğinin mümkün olduğu kadar kısıtlanmasını ve cihazlara giriş erişimi olan tüm hesapların gözden geçirilip gereksiz hesapların silinmesini öneriyor.
“Birkaç güvenlik açığı, kimliği doğrulanmış kullanıcıların yönetim web uygulamasında oturum açmışken bağlantılara tıklamasını veya kötü amaçlı web sayfalarını ziyaret etmesini gerektiriyor. Bunları ortadan kaldırmak için, güvenilmeyen bağlantıları açarken veya yönetim web uygulamasına yönelik bir göz atma oturumu devam ederken harici web sitelerini ziyaret ederken dikkatli olmanızı öneririz” diye eklediler.