Sektörden Haberler

CISA Hitachi, MySCADA, ICL ve Nexx Ürünlerinde ICS Açıklarının Bulunduğu Konusunda Uyardı.

14 Nisan 2023

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Hitachi Energy, mySCADA Technologies, Industrial Control Links ve Nexx'den ürünlere etki eden kritik açıklar hakkında sekiz adet Endüstriyel Kontrol Sistemleri (EKS) raporu yayınladı.

 

Listede ilk sırada yer alan CVE-2022-3682 (CVSS puanı: 9.9) açığının, Hitachi Energy'nin MicroSCADA System Data Manager SDM600 ürününü etkileyen ve bir saldırganın ürünün uzaktan kontrolünü ele geçirmesine izin verebilen bir açık olduğu belirtilmiştir.

 

Bu açık, dosya izni doğrulama sorunundan kaynaklanmaktadır, böylece kötü niyetli bir kullanıcı bir mesajı sisteme özel olarak yükleyebilir ve sistem üzerinde istediği şekilde kodlarını çalıştırabilir.

 

Hitachi Energy, SDM600 versiyonu 1.2 FP3 HF4 (Build Nr. 1.2.23000.291) öncesindeki SDM600 sürümlerindeki sorunu hafifletmek için SDM600 1.3.0.1339'u yayınlamıştır.

 

MySCADA myPRO 8.26.0 ve öncesindeki sürümlerde bulunan komut enjeksiyonu hatalarına ilişkin beş kritik zafiyet- CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 ve CVE-2023-29150 (CVSS puanları: 9,9)- bulunmaktadır. Bu zafiyetlerin başarılı bir şekilde kullanılması, kimlik doğrulaması yapılmış bir kullanıcının istediği işletim sistemi komutlarını enjekte etmesine izin verebilir uyarısında bulunan CISA, kullanıcıları 8.29.0 veya daha yüksek bir sürüme güncellemeleri konusunda uyarmıştır.

 

Ayrıca, Industrial Control Links ScadaFlex II SCADA Denetleyicilerinde (CVE-2022-25359, CVSS puanı: 9,1) bir kritik güvenlik hatası da açıklanmıştır, bu da kimlik doğrulaması yapılmış bir saldırganın dosyaları üzerine yazma, silme veya oluşturma yapmasına izin verebilir bir açık olarak belirtilmiştir.

 

Ajans tarafından, endüstriyel Kontrol Bağlantı ürünlerinin işletmesinin sonlandırılacağı ve bu ürünün artık kullanılmayacağı ve bu nedenle de bu ürün için devam eden herhangi bir desteğin sunulmayabileceği belirtilmiştir.

 

Kullanıcılara, potansiyel riskleri ortadan kaldırmak için ağ kullanımını en aza indirgemeleri, kontrol sistem ağlarını iş ağından izole etmeleri ve bunları güvenlik duvarlarının arkasına koymaları önerilmiştir.

 

Listeyi tamamlayan beş düzeltilemeyen eksiklik arasında, Nexx ürünü olan garaj kapısı kontrolleri, akıllı prizler ve akıllı alarm sistemlerini etkileyen bir kritik hata (CVE-2023-1748, CVSS puanı: 9.3) da yer almaktadır.

 

Güvenlik araştırmacısı Sam Sabetan tarafından keşfedilen ve bildirilen güvenlik açıkları, tehdit aktörlerinin ev garaj kapılarını açmasına, akıllı prizleri ele geçirmesine ve akıllı alarm sistemlerinin uzaktan kontrolünü ele geçirmesine olanak tanıyabilmektedir.

Aşağıdaki Nexx akıllı ev cihazı sürümleri bu açıktan etkilenmiştir:

  • Nexx Garaj Kapısı Kontrol Cihazı (NXG-100B, NXG-200)- Sürüm nxg200v-p3-4-1 ve öncesi
  • Nexx Akıllı Priz (NXPG-100W)- Sürüm nxpg100cv4-0-0 ve öncesi
  • Nexx Akıllı Alarm (NXAL-100)- Sürüm nxal100v-p1-9-1 ve öncesi

 

CISA, bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın hassas bilgileri almasına, uygulama programlama arayüzü (API) istekleri yürütmesine veya cihazları ele geçirmesine olanak tanıyabilir açıklamasını yapmıştır.

 

 

Kaynak: https://thehackernews.com/2023/04/cisa-warns-of-critical-ics-flaws-in.html