Kritik Altyapı Güvenliği , Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi
Rockwell Automation: Kritik Altyapıyı Korumak İçin Acil İlgi Gerekiyor
Bay Mihir (MihirBagwe) •
13 Temmuz 2023
Rockwell Automation, endüstriyel sistemleri ve kritik altyapıyı hedef aldığı bilinen gelişmiş kalıcı tehdit aktörlerine atfedilen yeni bir açıktan yararlanma kabiliyetine atıfta bulunarak, acil müdahale gerektiren iki kritik kusuru bulmak için federal siber güvenlik uzmanlarıyla birlikte çalıştı.
Ayrıca bakınız: Efsaneyi Çürütmek: OT’yi Güvenceye Almak Mümkün
İşbirlikçi analiz, potansiyel olarak kamu hizmetleri sistemlerinin, üreticilerin, ulaşım ağlarının ve boru hatlarının bileşenlerini kontrol etmek veya kapatmak için kullanılabilecek APT istismarını keşfetti.
Rockwell Automation güvenlik danışma belgesi, “Bu yeteneklerin kritik altyapıyı hedefleme amacıyla geliştirilmiş olma ihtimali yüksektir” diyor.
Bu APT yeteneğini kullanan aktif istismar belirsizliğini koruyor, ancak “tehdit etkinliği değişebilir ve etkilenen ürünleri kullanan müşteriler, açığa çıkarsa ciddi risklerle karşı karşıya kalabilir” diyor.
Kritik RCE ve DoS Hataları
CVE-2023-3595 ve CVE-2023-3596 olarak izlenen güvenlik açıkları, Rockwell Automation Allen-Bradley ControlLogix İletişim Modülleri 1756 EN2* ve 1756 EN3* ürün ailelerinde bulunur.
CVE-2023-3595 – CVSS: 9.8
Saldırgan, özel hazırlanmış ortak endüstriyel protokol mesajları göndererek savunmasız bir modülde RCE elde etmek için bu güvenlik açığından yararlanabilir. Modül internetten bölümlere ayrılmamışsa, bu hatanın kötüye kullanılması riski artar. Başarılı bir istismar, bir saldırgana güvenlik açığı bulunan bir modülün belleğini tehlikeye atma yeteneği vererek, saldırganın cihazdan geçen verileri değiştirmesine, reddetmesine ve sızdırmasına olanak verebilir.
Operasyonel teknoloji güvenlik firması Dragos, bu güvenlik açığını Xenotime tarafından Trisis/Triton saldırısında kullanılan sıfır gün ile karşılaştırdı. Dragos, “CVE-2023-3595, ağ komutlarını işlemekten sorumlu bir iletişim modülünü hedeflese de, her ikisi de keyfi bellenim bellek manipülasyonuna izin verir.” “Ancak, etkileri aynı.”
Diğer bir ortak nokta, her iki hatanın da olaya müdahale ve kurtarma için kullanılan bilgileri bozma potansiyeline sahip olmasıdır. Saldırganlar potansiyel olarak kendilerini gizlemek ve devam etmek için sistemin herhangi bir bölümünün üzerine yazabilir veya olay müdahalesini veya adli tıp bilgilerini toplamak için kullanılan arayüzler, tespit edilmekten kaçınmak için kötü amaçlı yazılım tarafından yakalanabilir.
Dragos, “Bu tür bir güvenlik açığından yararlanmak, iletişim modülünü güvenilmez hale getirir ve hizmet dışı bırakılması ve analiz için satıcıya geri gönderilmesi gerekir.” Dedi.
CVE-2023-3596 – CVSS: 7.5
Saldırgan, savunmasız bir cihaza özel hazırlanmış CIP mesajları göndererek hedef sistemde hizmet reddi durumuna neden olmak için bu güvenlik açığından yararlanabilir.
Operasyonel teknoloji güvenlik sağlayıcısı Tenable ve ControlLogix İletişim Modüllerinin, makineler, BT sistemleri ve uzak kasalar arasında iletişimi sağlamak için enerji, ulaşım ve su, imalat, elektrik, petrol ve gaz ve sıvılaştırılmış doğal gaz dahil olmak üzere birçok endüstri ve sektörde kullanıldığını söyledi. Dragos.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın güvenilir ICS/OT tehdit istihbaratı ortakları olan her iki şirket de, ControlLogix güvenlik açıklarının ifşa edilmesinden önce tehdidin kapsamını koordine etmek ve değerlendirmeye yardımcı olmak için Rockwell Automation ile birlikte çalıştı.
Dragos’taki uzmanlar, “Bu güvenlik açıklarından yararlanmanın sonuçları ve etkisi, ControlLogix sistem yapılandırmasına bağlı olarak değişir, ancak bunlar, kontrolün reddine veya kaybına, reddine veya görüş kaybına, operasyonel verilerin çalınmasına veya yıkıcı amaçlar için kontrolün manipüle edilmesine yol açabilir. veya ControlLogix sisteminin sorumlu olduğu endüstriyel süreç üzerindeki yıkıcı sonuçlar.”
“Bunları not etmek önemlidir. [ControlLogix] modüller birden çok mantıksal ve fiziksel yapılandırmada uygulanabilir,” dedi Tenable. “Bir 1756 ControlLogix Kasası, yerel bir kasaya kurulu en fazla 17 modüle sahip olabilir. Birden fazla ağ arayüzüne sahip olmak yaygındır. [physical network cards] endüstriyel ortamlarda ağları köprülemek ve/veya bölümlere ayırmak için yapılandırılmış.”
IoC’ler ve Azaltmalar
Rockwell Automation, sistem sahiplerine ICS/SCADA ağlarının temel alındığından ve anormal ağ etkinliği açısından düzenli olarak izlendiğinden emin olmalarını tavsiye etti. ControlLogix iletişim modüllerini kullananlar özellikle şunları aramalıdır:
- CIP özellikli cihazlar için bir ağda bilinmeyen tarama;
- Beklenmeyen veya spesifikasyon dışı CIP paketleri;
- İletişim modülü belleğine veya ürün yazılımına rastgele yazma;
- Beklenmeyen üretici yazılımı güncellemeleri ve/veya güvenli önyükleme seçeneklerinin devre dışı bırakılması;
- Yaygın olmayan üretici yazılımı dosya adları.
Rockwell Automation, mevcut imzalı ve imzasız üretici yazılımı güncelleme sürümlerini güvenlik danışma belgesinde listelemiştir, ancak ControlLogix iletişim modüllerinin istismara karşı daha fazla güvenliğini sağlamak için şirket, uygun ağ bölümlemesini ve algılama imzalarının uygulanmasını önerir. Danışma belgesi, “Rockwell Automation cihazlarına giden anormal CIP paketlerini izlemek ve tespit etmek için eklenmiş Snort imzalarını kullanın” diyor.