“Bu ayrı kripto çekirdeği çok ilkel bir çip. Büyük bir işlemci gibi değil, bu yüzden kiminle konuştuğunu veya daha geniş bağlamda neler olup bittiğini gerçekten bilmiyor,” diyor Red Balon’dan Skipper. “Yani ona işlemcinin söylediğini gözlemlediğiniz doğru şeyleri söylerseniz, sizinle işlemci sizmişsiniz gibi konuşacaktır. Böylece işlemci ile kripto çekirdeği arasına girebiliriz ve ona temelde ‘Hey, biz işlemciyiz ve size bazı veriler vereceğiz ve bunları şifrelemenizi istiyoruz’ deriz. Ve küçük kripto çekirdeği bunu sorgulamayacak. Sadece yapar.
Siemens, güvenlik açıklarının şirketin kendi üretici yazılımı güncelleme süreciyle ilgili olmadığını ve saldırganlara bu dağıtım kanalını ele geçirme yeteneği vermediğini belirtiyor. Ancak herhangi bir S7-1500’ün aygıt yazılımını kutsayan bir kehanet haline gelebilmesi önemlidir ve bireysel aygıtların sahip olmaması gereken bir güç vererek, aygıt yazılımını en başta şifreleme amacının tümünü baltalar.
Red Balloon Security’nin kurucusu ve CEO’su Ang Cui, “S7’ler, diğer S7’ler için ürün yazılımını yeniden şifreleyemez” diyor. “Bu, temel bir tasarım kusuru ve önemli bir uygulama hatasıdır.”
Siemens, güvenlik açığı için doğrudan herhangi bir düzeltme yayınlamasa da, birkaç S7-1500 modeli için güvenlik açığını gideren yeni nesil işlemci donanımını yayınlama sürecinde olduğunu söylüyor. Şirket, “bu güvenlik açığını tamamen gidermek için kalan PLC türleri için yeni donanım sürümleri üzerinde çalıştığını” söylüyor. Red Balon araştırmacıları, güvenlik açığının bu son S7-1500 donanımında giderildiğini henüz bağımsız olarak doğrulayamadıklarını söylüyor.
Yine de Red Balon Güvenlik araştırmacıları, Siemens’in herhangi bir PLC için cihazda kurcalama olup olmadığını kontrol etmek için bir ürün yazılımı denetim aracı yayınlamasının mümkün olacağını söylüyor. Güvenlik açığı etkilenen cihazlarda devam edeceğinden, böyle bir özellik S7-1500 sahiplerine PLC’leri hakkında daha fazla bilgi ve onları şüpheli etkinlik için izleme yeteneği sağlayacaktır.
Red Balon’dan Cui, “Aynı film, sadece farklı bir gün,” diyor. “Çok karmaşık, egzotik donanım güvenliği genel güvenliği artırıyor mu? Doğru yaparsan yardımcı olabilir, ama bunu doğru yapan bir insan görmedim. Yanlış yaptığınızda, her zaman iki ucu keskin bir kılıca dönüşür ve bu kılıcın kenarı çok keskindir.”
Siemens, yeni modellerde S7-1500 güvenlik açığını ele aldığını söylese de, dünya çapında endüstriyel kontrol ve kritik altyapı sistemlerinde savunmasız 1500’lerin nüfusu çok fazla ve bu birimler onlarca yıl kullanımda kalacak.
Cui, “Siemens bunun düzeltilmeyeceğini söylüyor, yani bu sadece bir sıfır gün değil; tüm savunmasız 1500’ler hizmet dışı kalana kadar bu sonsuza kadar sürecek” diyor. “Bunu adressiz bırakmak tehlikeli olabilir.”