Sektörden Haberler

2022 de Siemens Sürücülerinde Keşfedilen EKS Güvenlik Açıklarında Arttı

02 Mart 2023

Endüstriyel siber güvenlik firması SynSaber'in yeni bir raporuna göre, Endüstriyel Kontrol Sistemlerinde (EKS) keşfedilen güvenlik açıklarının sayısı yıldan yıla artmaya devam etmektedir ve bu açıkların birçoğu 'kritik' veya 'yüksek' önem derecesine sahip güvenlik açıklarıdır. 

 

Synsaber’in Raporunda 2020 ile 2022 yılları arasında, CISA tarafından yayınlanan EKS ve tıbbi tavsiyelerinin sayısı karşılaştırılmaktadır. Tavsiye sayısı 2020 ve 2021'de aşağı yukarı aynıyken, 2022’de keşfedilen güvenlik açığı sayısı 1.191'den 1.342'ye ulaşmıştır.

"Kritik" olarak derecelendirilen güvenlik açıklarının sayısı, 2021'de 186 iken 2022'de yaklaşık 300'e çıkarak daha da önemli ölçüde artmıştır. Toplamda yaklaşık 1.000 güvenlik açığı, CVSS puanlarına göre "kritik" veya "yüksek önem düzeyine" sahiptir.

 

 

CVSS puanlarının, EKS kusurları durumunda yanıltıcı olma ihtimali vardır ve yama önceliklendirme için tek başlarına kullanılmamalıdır, ancak bu puanlar yine de bir kuruluşun uygulanabilirlik kriterlerini karşılayan sorunları sıralamak için yararlı olabilmektedir.

Synsaber'in raporuna göre; EKS güvenlik açığı hacmi söz konusu olduğunda Siemens öne çıkmaktadır. 2022'de keşfedilen güvenlik açıklarının çoğunda yalnızca Siemens ürünleri etkilenmektedir. Aynı zamanda Alman sanayi devi, diğer satıcılardan çok daha fazla sayıda güvenlik açığını kendisi raporlamıştır.

Siemens'in ürün güvenlik ekibi 2022'de 544 güvenlik açığı bildirmiştir. Bu sayı bir önceki yıl 230 dur. Listedeki ikinci satıcı, 64 hata ile Hitachi'dir.

Siemens ürün güvenliğindeki ekip, yıldan yıla yaklaşık 3 kat önemli bir büyüme ile raporlama ritmini artırmaya devam ediyor. Bu, Siemens ürün hatlarını etkileyen, bilinen CVE'lerin sayısını diğerlerine kıyasla şişirse de Siemens ürünlerinin daha az güvenli olduğu şeklinde görülmemelidir. Aksine, olgun ve tekrarlanabilir bir self OEM raporlama süreci olduğunu ve diğer tüm OEM'lerin bunu başarmak için çabalaması gerektiği Synsaber tarafından vurgulanmıştır.

Siemens genellikle her ay düzinelerce güvenlik açığını açıklar ve giderir, ancak birçoğu şirketin ürünleri tarafından kullanılan üçüncü taraf bileşenlerini etkilemektedir.

Geçen yıl keşfedilen güvenlik açıklarının sayısı yüksek olsa da yaklaşık üçte biri başarılı bir kullanım için kullanıcı etkileşimi ve kabaca dörtte biri de hedeflenen sisteme yerel veya fiziksel erişim gerektirmektedir. Bununla birlikte, kullanıcı etkileşimi ve yerel erişim gerektiren kusurların yüzdesi 2021'e kıyasla azalmaktadır.

Son üç yılın verilerine bakıldığında,  giderilmeyecek güvenlik açıklarının (bunlar muhtemelen hiçbir zaman yamalanmayacak kusurlardır) sayısının 2021'de %14'ten 2022'de %28'e çıkması da oldukça  endişe verici bir husustur.

EKS güvenlik açıkları yazılımları, gömülü yazılımları veya protokolleri etkileyebilir. Bu kategorilerin her birinde bulunan sorunların yüzdesi 2020-2022 yılları arasında sabit kalmıştır. Bu sorunlar üç yıl boyunca ortalama olarak yazılımda %56, gömülü yazılımlarda %36 ve protokollerde %8 olmuştur.

 

Kaynak: https://www.securityweek.com/siemens-drives-rise-in-ics-vulnerabilities-discovered-in-2022-report/