Sektörden Haberler

CISA, Siemens RUGGEDCOM ROX, SIMATIC, Rockwell Automation Firmalarının EKS Donanım Zafiyetlerini Yayınlamıştır.

20 Temmuz 2023

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 13 Temmuz Perşembe günü, kritik altyapı sektörlerinde kullanılan endüstriyel kontrol sistemlerindeki (EKS) güvenlik açıklarını ele alan birkaç güvenlik tavsiyesi yayınlamıştır. Ajans, Siemens ve Rockwell Automation ekipmanlarında donanım güvenlik açıklarının varlığını ortaya çıkarmıştır. Ayrıca SIMATIC MV500, SIMATIC CN 4100, RUGGEDCOM ROX ve SiPass Integrated dahil olmak üzere çeşitli Siemens ürün serilerinde donanım güvenlik açıklarına ilişkin bildirimler yayınlamıştır.

CISA, Rockwell Automation ekipmanında siteler arası komut dosyası çalıştırma ve kimlik doğrulama baypas güvenlik açıklarının varlığını ortaya koyarak  Rockwell Automation PowerMonitor 1000: V4.011, modelinin de bu güvenlik açıklarından etkilendiğini belirtmiştir.  

CISA’nın tavsiye belgesinde, bu güvenlik açığından yararlanılarak, bir saldırganın uzaktan kod yürütmesine ve potansiyel olarak ürünün gizliliğini, bütünlüğünü ve kullanılabilirliğini tamamen kaybetmesine yol açabileceğini, PowerMonitor 1000 ürünün web sayfasında siteler arası betik çalıştırma güvenlik açıkları içerdiğini ve bir saldırgan tarafından kod enjekte edilerek veri bütünlüğü kaybına yol açabileceğini belirtmiştir.

CISA, kullanıcılara bu sorunları azaltmak için yamalı olan V4.019'un en son sürümüne yükseltme yapmalarını, ayrıca kontrol sistemi ağlarını ve uzak cihazları güvenlik duvarlarının arkasına yerleştirerek kurumsal ağlardan izole etmelerini tavsiye etmiştir.

CISA Başka bir tavsiye belgesinde, Siemens RUGGEDCOM Rox ürünlerinde klasik arabellek taşmaları, siteler arası istek sahtekarlıkları, yetersiz şifreleme gücü, riskli kriptografik algoritmaları gibi birçok güvenlik açığının varlığını tespit etmiş ve bu güvenlik açıklarının başarılı bir şekilde kullanılmasının, saldırganlar tarafından hatalı biçimlendirilmiş HTTP paketi gönderilmesine izin verebileceğini belirtmiştir. 

Tavsiye belgesine göre, Siemens RUGGEDCOM ROX'un V2.16.0'dan önceki tüm sürümlerinin, bozuk şifreleme algoritması kullanımına karşı savunmasız olduğunu, bu zafiyetlerin kullanılmasının, ortadaki adam saldırısına (MINT) veya rastgele kod yürütülmesine neden olabileceğini eklemiştir.

Siemens bu güvenlik açığını CISA'ya bildirerek, güvenlik açığının V2.16.0 veya sonraki sürümlerde giderildiğini, uzmanların arabellek taşması güvenlik açığı risklerini azaltmak için ürünlerini en son yamaya güncellemesini önermiştir.

CISA ayrıca, Siemens SIMATIC MV500 serisinde hassas bilgilerin açığa çıkması, enjeksiyon, yetersiz şifreleme gücü, uygun olmayan giriş doğrulama güvenlik açıkları bulunduğunu da ortaya çıkarmıştır. Ajans, bu zafiyetlerin saldırganların bellek içeriklerini okumasına, bilgileri ifşa etmesine veya hizmet reddi durumuna neden olmasına izin verebileceğini söylemiştir.

Linux çekirdeğinde net/sunrpc/xprtrdma/rpc_rdma.c'de RDMA üzerinden NFS'de  bilgi sızıntısı bulunmuştur. Bu kusur, normal kullanıcı ayrıcalıklarına sahip bir saldırganın çekirdek bilgilerini sızdırmasına olanak tanıyabilir.  Siemens, SIMATIC MV500 serisi ailesi için bir güncelleme yayınlayarak, en son sürüme güncelleme yapılmasını tavsiye etmiştir. Ayrıca, yalnızca güvenilir IP adreslerinden gelen bağlantılara erişim yapılması dahil olmak üzere, kullanıcıların riski azaltmak için uygulayabilecekleri geçici çözümler ve hafifletmeler belirlemiştir.

CISA , Siemens'in SIMATIC CN 4100 ekipmanının, uygun olmayan erişim kontrolü ve yanlış izinler nedeniyle hassas bilgileri açığa çıkarabileceğini bildirmiştir. Bu güvenlik açığının, bir saldırganın hassas bilgilere erişmesine ve ağ yalıtımını atlamasına olanak verebileceğini belirtmiştir.

Birden fazla kritik altyapı sektörüne yayılmış olan CISA, tavsiye kararında; etkilenen cihazların, yapılandırma dosyalarında ayrıcalık artışına yol açabilecek uygunsuz erişim kontrollerinin olduğunu,  saldırganların bu güvenlik açığı sayesinde yönetici erişimi elde ederek cihazların kontrolünü tamamen ele geçirebileceğini belirtmiştir. Bu güvenlik açıklarını Siemens'e BASF Güvenlik Ekibinden Michael Klassen ve Martin Floeck bildirmiştir.

Siemens, kullanıcıları V2.5 veya sonraki bir sürüme güncelleme yapmaya çağırmıştır. Siemens, temel güvenlik önlemi olarak, cihazlara ağ erişimini sağlamak için uygun mekanizmaların uygulanmasını, cihazların BT ortamında güvenli bir şekilde çalışmasını sağlamak için, ortamın Siemens'in endüstriyel güvenlik yönergelerine uygun olarak yapılandırılmasını ve ürün kılavuzlarında belirtilen tavsiyelere uyulmasını tavsiye etmiştir.

Siemens'in SiPass Integrated ekipmanının uygunsuz girdi doğrulama zafiyeti tespit edilmiştir. Bu zafiyetin, bir saldırganın hassas bilgileri ifşa etmesine, mevcut işlem bağlamında kod çalıştırmasına veya uygulamayı çökerterek hizmet aksamasına neden olabileceği belirtilmiştir. Siemens, SiPass integrated için V2.90.3.8 güncellemesini yayınlamıştır ve en son sürüme güncelleme yapılmasını önermektedir.

CISA’nın son EKS tavsiyelerinde Honeywell'in Experion PKS, LX ve PlantCruise sistemleri bulunmaktadır. Bu sistemlerde yığın tabanlı arabellek taşması, kontrolsüz kaynak tüketimi, uygunsuz çıktı kodlaması, güvenilmeyen verilerin yeniden serileştirilmesi, uygunsuz girdi doğrulaması ve yanlış karşılaştırma dahil olmak üzere çeşitli donanım güvenlik açıkları keşfedilmiştir. CISA bir kez daha kullanıcılara etkilenen ekipmanların en son sürümlerine güncelleme yapmaları çağrısında bulunmuştur.

Kaynak: https://industrialcyber.co/threats-attacks/cisa-reveals-ics-hardware-vulnerabilities-across-siemens-ruggedcom-rox-simantic-rockwell-automation-equipmentcisa-reveals-ics-hardware-vulnerabilities-across-siemens-ruggedcom-rox-simatic-rockwell-a/