INFOSEC23 – Londra – Schneider Electric ION ve PowerLogic güç sayaçlarındaki bir güvenlik açığı açıklandı: Her mesajla birlikte düz metin olarak bir kullanıcı kimliği ve parolası iletirler.
10 üzerinden 8,8’lik bir CVSS güvenlik açığı-önem derecesi göz önüne alındığında, hata, pasif müdahale yeteneklerine sahip bir saldırganın bu kimlik bilgilerini almasına, ION/TCP mühendislik arabiriminde (ayrıca SSH ve HTTP arabirimlerinde) kimlik doğrulaması yapmasına ve yapılandırma ayarlarını değiştirmesine olanak tanır. veya potansiyel olarak üretici yazılımını değiştirin.
“Bir operasyonel teknoloji (OT) ürününün kimlik bilgilerini açık metin olarak iletmesi artık kesinlikle kabul edilemez çünkü ağa erişimi olan ve trafiği koklayabilen herkes bunları alabilecek ve ardından cihazla neredeyse her istediğini yapabilecek. ,” diyor Forescout’ta güvenlik araştırması başkanı Daniel dos Santos. Bu, talebin (veya yükün) daha sonra şebeke ağının diğer bölümlerine aktarılmasıyla kapanmaları tetikleyebilecek yük salınımlarına neden olacak şekilde akıllı sayaç anahtarlarının kontrol edilmesini içerebilir. En kötü senaryoda, bir domino etkisi teorik olarak elektrik kesintisine yol açabilir.
Forescout’un Icefall OT araştırmasının bir parçası olarak açıklanan bu güvenlik açığı, bugün Infosecurity Europe’ta duyurulan üç güvenlik açığından biridir ve diğer ikisi, WAGO 740 denetleyicilerindeki hizmet reddi (DoS) güvenlik açıklarıdır. DoS sorunlarının her ikisine de 4,9 önem derecesi verilir.
Schneider, danışma belgesinde, ION Protokolünün 30 yılı aşkın bir süre önce dijital güç sayaçlarına gelişmiş veri alışverişi getirmek için oluşturulduğunu ve siber güvenlik bir endişe haline geldikçe, protokolün kimlik doğrulama desteği ile geliştirildiğini söyledi.
Ancak bu, genellikle eski kodlarda olduğu gibi hala güvenlik açıkları olmadığı anlamına gelmez. Aslında dos Santos, Schneider güvenlik açığının başlangıçta Haziran 2022’de 56 OT kusurundan oluşan bir paketin parçası olarak piyasaya sürüleceğini, ancak yama işlemleri nedeniyle ertelendiğini söylüyor.
“Bu, daha önceki zamanlarda tasarlanmış örneklerden biri ve Schneider, bunun kesinlikle farkında. [this is a vulnerability] ve sorunu bulup düzelterek bugüne getirmek için onlarla birlikte çalıştık” diyor.
“Artık bu, kimlik bilgilerinin artık düz metin olarak iletilmediği şifrelemeye sahip, bu protokolün güvenli bir sürümü. Bu nedenle, daha eski ama yine de çok kullanılan bir ürün grubu için protokolün güvenli bir sürümüne olan ihtiyacı yeniden değerlendirmelerine neden olan kesinlikle yeterince alakalı bir sorun.”
Tasarıma Göre Siber Güvenlik OT için Hala Eksik
Forescout araştırması, bunun, düz metin ve/veya sabit kodlanmış kimlik bilgileri gibi temel güvenlik kontrol tasarımının anlaşılmadığını gösteren yinelenen tasarım sorunlarıyla birlikte, OT satıcıları tarafından tasarıma dayalı güvenlik konusunda hâlâ temel bir anlayış eksikliği olduğunu gösterdiğini belirtti. istemci tarafı kimlik doğrulama, durum bilgisi olmayan protokollerde durum bilgisi olan kontrol, kimlik doğrulamada eksik kritik adımlar, bozuk algoritmalar ve hatalı uygulamalar.
Dos Santos’un dediği gibi: “OT’nin tasarım gereği neredeyse hiç güvenliği olmadığını herkes biliyor, değil mi? ‘tüm OT’niz güvensiz’ deyin; güvensiz mühendislik, protokoller, güvensiz aygıt yazılımı güncellemeleri vb. olduğunu söylemeniz gerekiyor.”
Forescout, satıcıları güvenlik testi prosedürlerini iyileştirmeye çağırmak için bu yeni güvenlik açıklarının yayınlanmasını kullandı ve ürünlerin ve protokollerin eski tasarımlarla geriye dönük uyumlu kalması gerektiğini söyledi.
Dos Santos, eski ürünlerin güvenli olmayan teslimat yöntemleriyle sabit kodlanmış kimlik bilgilerine sahip olması nedeniyle bazı satıcıların geriye dönük uyumlulukla ilgili sorunlarının devam ettiğini söylüyor. “O zamanlar işlerin güvensiz bir şekilde tasarlanmasının ana nedeni, güvenliğin büyük bir endişe kaynağı olmamasıydı, ancak şimdi geriye dönük uyumluluk ihtiyacı ve hala kullanılan bazı ürün serilerini sürdürme ihtiyacı: ancak hala kullanan insanlar var. çünkü yaşam süresi 20 ila 30 yıldır.”