Wago Web Tabanlı Yönetim (WBM) Sistemlerinde, siteler arası komut dosyası çalıştırma saldırılarına, cihaz parametrelerini ayarlamaya, uzaktan kod yürütmeye vb. izin veren dört güvenlik açığı bulundu.
CVE-2022-45140, CVE-2022-45139, CVE-2022-45138Ve CVE-2022-45137Georgia Institute of Technology’nin Siber-Fiziksel Güvenlik Laboratuvarlarından Ryan Pickren tarafından Wago’ya bildirilen WBM güvenlik açıklarıydı.
WBM güvenlik açıkları, kritik altyapıya zarar vermek, Wago Programlanabilir Mantık Denetleyicilerini (PLC’ler) kontrol etmek, ağır makineleri bozmak ve ayrıca mühendislerin hayatını tehlikeye atmak için kullanılabilir.
Cyble Research and Intelligence Labs’deki (CRIL) araştırmacılar, dünya çapında 10.000’den fazla Wago WBM sisteminin internet üzerinden açığa çıktığını ve bunun yama uygulanmamış sistemler için potansiyel bir risk oluşturduğunu belirtti.
CRIL araştırmacıları, savunmasız ürünlerin bir yansıması olmayan internete maksimum maruz kalmanın İtalya, Türkiye ve Almanya’da bulunduğunu tespit etti. Açıkta kalan sistemler arasında bazı sistemler yamalanmış olabilir.
Wago Web Tabanlı Yönetim Sistemi (WBM) güvenlik açıkları hakkında ayrıntılar
CVE-2022-45138 ve CVE-2022-45140, Wago’daki kritik güvenlik açıklarıydı. İlki, kimliği doğrulanmamış uzaktan kod yürütülmesine izin verebilecek kritik işlevler için kimlik doğrulama protokolünü atlamak üzere kötüye kullanılabilir. Ayrıca, bu WBM güvenlik açığı tam erişim sunarak tüm cihazın güvenliğini tehlikeye atabilir.
Kimliği doğrulanmamış erişimi durduracak bir mekanizma olmadığından CVE-2022-45140’ın kötüye kullanılması, tam sistem güvenliğinin aşılmasına da yol açabilir. Kök ayrıcalıklarına sahip depolamaya rasgele kod yazmak için kullanılabilir.
CVE-2022-45137 ve CVE-2022-45139 orta düzey güvenlik açıkları, gizlilik üzerinde sınırlı etkiye ve gizli verilerin küçük bir alt kümesine sahip olmasına rağmen, verilen hasarı artırmak için diğer kusurlarla birlikte kullanılabilir.
CVE-2022-45137, tarayıcı üzerinden XSS siteler arası betik çalıştırma saldırılarına izin verebilir. CVE-2022-45139, web tabanlı yönetimde bir CORS yanlış yapılandırması olan bir kaynak doğrulama hatasına neden olur. Bir üçüncü taraf web sunucusunun, hedefin web sunucusundaki sayfalardan yararlanmasına izin verebilir.
Bir tehdit aktörü, WBM’deki bu güvenlik açığını CVE-2022-45138 ile birleştirirse, CPU teşhisi de dahil olmak üzere cihaz hakkında bilgi elde etmek için kullanılabilir.
WBM’deki yama uygulanmamış güvenlik açıklarından etkilenen cihazların listesi şunlardır:
En son üretici yazılımı (FW22 Yama 1 veya FW 24 veya üstü), gelecekte olası herhangi bir istismara karşı koruma sağlamak için kullanıcılar tarafından uygulanması gereken resmi satıcı tarafından yayınlandı.
WBM güvenlik açıklarının daha fazla kullanılması
Bir bulgu olarak, birkaç varlık sahibinin varsayılan fabrika oturum açma kimlik bilgilerini değiştirmediği ortaya çıktı. Varsayılan kimlik bilgileri, tehdit aktörleri tarafından cihaz el yazmalarında veya çevrimiçi olarak kolayca bulunabilir, bu da tehdit aktörlerinin kolay kurbanlarını yapar.
Aşağıdaki resim, varsayılan fabrika kimlik bilgileri üzerinde çalışan şaşırtıcı sayıda WBM bulut sunucusunu göstermektedir:
CRIL ayrıca web sunucusu, görev sayısı, proje bilgisi, durum vb. dahil olmak üzere sistemle ilgili tüm bilgilerin çalınabileceğini ve bu da belirli proje bilgilerinin kötüye kullanılmasına yol açabileceğini tespit etti. Ayrıca ana bilgisayar adı, alan adları, DNS sunucusu ayrıntıları, TCP yapılandırması vb. Siber suçlular tarafından da okunabilir.
Ağa anında yansıyabilecek değişiklikler yapabilirler. Siber suçlular, ICS ortamı için güvenlik riski oluşturan güvenlik duvarı ayarlarını da düzenleyebilir.
ICS ortamını değiştirerek ağır makinelerin, çevredeki mühendisler de dahil olmak üzere fiziksel hasar görmelerine ve arızalanmalarına neden olabilir.
Hasara ek olarak, güvenlik araçları, aygıt yazılımı güncellemelerinin, parolaların, hizmet arabiriminin ve yedekleme dosyalarının ayarları değiştirilerek manipüle edilebilir.
Hacktivist gruplar, geçmişte Wago da dahil olmak üzere, maruz kalan ICS’den yararlanan kötü amaçlı kampanyalar başlattı. Khanjar operasyonunda bir siber suçlu Thraxman, Kırım’daki Rus fabrikalarını hedef aldı.