ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Cybersecurity and Infrastructure Security Agency (CISA), Siemens, Schneider Electric, Rockwell Automation ve diğer bazı büyük üreticilere ait ürünleri etkileyen ICS (endüstriyel kontrol sistemleri) güvenlik açıklarına ilişkin dokuz ayrı güvenlik duyurusu yayımladı. Duyurular, kritik altyapı sektörlerinde yaygın olarak kullanılan endüstriyel donanım ve yazılımlarda tespit edilen ciddi zafiyetlere dikkat çekiyor.
CISA’nın açıklamalarına göre, tespit edilen güvenlik açıkları; SCADA, DCS, PLC, endüstriyel ağ bileşenleri ve kamera yönetim yazılımları gibi sistemleri kapsıyor. Bu ürünler başta enerji, kritik üretim, savunma sanayi, ulaşım ve IT olmak üzere birçok sektörde aktif olarak kullanılıyor. Bazı zafiyetlerin CVSS v3 puanlarının 9.8 seviyesine kadar ulaştığı ve bu nedenle kritik risk sınıfında değerlendirildiği belirtiliyor.
Ajans, söz konusu güvenlik açıklarının başarılı şekilde istismar edilmesi hâlinde uzaktan kod çalıştırma, yetki yükseltme, bilgi ifşası, bilgi bütünlüğünün bozulması ve hizmetin aksaması (DoS) gibi sonuçların ortaya çıkabileceği uyarısında bulundu. Özellikle scripting özelliklerine sahip SCADA ve otomasyon platformlarında, yetki sınırlarının yeterince kısıtlanmamış olmasının, kötü niyetli kullanıcıların sistem seviyesinde erişim elde etmesine imkân tanıyabileceği ifade edildi.
CISA ayrıca, ağ iletişimi ve IP stack’leri etkileyen bazı güvenlik açıklarının, belirli koşullar altında TCP tabanlı servislerin hedef alınmasına ve bağlantıların sabote edilmesine yol açabileceğini belirtti. Bu tür saldırıların, doğrudan veri manipülasyonu sağlamasa bile, endüstriyel süreçlerin sürekliliğini tehlikeye atabilecek hizmet kesintilerine neden olabileceği vurgulandı.
Duyurularda yer alan bir diğer önemli nokta ise, endüstriyel kamera ve yönetim yazılımlarında tespit edilen zafiyetlerin yalnızca fiziksel güvenliği değil, aynı zamanda OT ağlarının bütünlüğünü de riske atabileceği yönünde oldu. Kimlik doğrulama atlatma, sertifika doğrulama hataları ve güvenli olmayan veri işleme mekanizmalarının, saldırganlara sistemler üzerinde yetkisiz erişim imkânı sağlayabileceği ifade edildi.
CISA, kuruluşlara yönelik olarak, etkilenen sistemlerin internete doğrudan açık olmamasını, kurumsal IT ağlarından mantıksal ve fiziksel olarak ayrıştırılmasını ve uzaktan erişim ihtiyaçlarının yalnızca güvenli yöntemlerle karşılanmasını tavsiye etti. Güvenlik yamalarının mümkün olan en kısa sürede uygulanması önerilirken, yama uygulanamayan sistemler için ağ izolasyonu, erişim kısıtlamaları ve fiziksel güvenlik önlemlerinin devreye alınması gerektiği belirtildi.
Ajans ayrıca, herhangi bir teknik önlem hayata geçirilmeden önce etki analizi ve risk değerlendirmesi yapılmasının kritik önemde olduğunu vurguladı. Şu aşamada bu güvenlik açıklarının aktif olarak istismar edildiğine dair kamuya açık bir bilgi bulunmadığı ifade edilirken, olası saldırıların yüksek teknik bilgi ve hazırlık gerektirdiği de not edildi.
