Sektörden Haberler

CISA, Siemens, Hitachi Energy, Johnson Controls, Delta Electronics Firmalarının Siber Güvenlik Açıklarını Ortaya Çıkarttı

26 Ekim 2022

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) 25 Ekim 2022 tarihinde, AliveCor KardiaMobile tıbbi cihazlarınıda kapsayan sekiz ICS tavsiyesi yayınladı. Bu tavsiyelerde, kritik altyapı sektörlerinde üretim yapan Siemens, Hitachi Energy, Johnson Controls, Delta Electronics, Haas ve Heidenhain firmalarının mevcut güvenlik sorunları, siber güvenlik açıkları ve ICS ekipmanlarını çevreleyen açıklar hakkında bilgi vermektedir.

CISA, tavsiyesinde, Alive KardiaMobile ekipmanının, varsayılan değişmez veriler ve hassas verilerin eksik şifrelenmesiyle kimlik doğrulama atlanmasını sağlayan siber güvenlik açıklarının tespit edildiğini açıklamıştır. Bu güvenlik açıkların sömürüsünün, saldırganların kişisel kardiyogramları çalmasına, taklit etmesine veya hizmet reddi saldırısını etkinleştirmesine neden olabileceğini, saldırganların bu saldırıları gerçekleştirmek için yakın mesafede olması gerektiğini açıklamıştır.

CISA, Kuzey Amerika ve Avrupa'da Android telefonlar tarafından kullanılan ürün için akıllı telefon uygulamasının, ‘Kasıtlı Manipülasyon’ olarak bilinen sömürüye karşı savunmasız olduğunu söyledi. Bu istismar, saldırganların uygulama kimlik doğrulamasını atlamasına ve uygulamadaki bilgileri görüntülemesine veya değiştirmesine olanak tanımaktadır.

Tanımlanan diğer güvenlik açığı, ses üzerinden veri protokolleri için şifrelemesi olmayan fiziksel IoT cihazını kapsamaktadır. Bu güvenlik açığı, bir saldırganın hasta elektrokardiyografi (EKG) sonuçlarını okumasına veya cihazla benzer frekanslarda sesler yayarak bir hizmet reddi durumu oluşturmasına olanak vererek, akıllı telefon mikrofonunun verileri doğru bir şekilde okumasını bozabilmektedir. Bu saldırıyı gerçekleştirmek için, saldırganın ses dalgalarını alıp yaymak üzere cihaza yakın (1.5 m az) olması gerekmektedir.

Alcalá Üniversitesi'nden Carlos Cilleruelo Rodríguez ve Javier Junquera Sánchez, bu güvenlik açıklarını CISA'ya bildirmiştir.

Kardia Uygulaması kullanım talimatlarında, kullanıcıların akıllı telefon cihazları için parola (PIN) veya biyometrik kimlik kullanılması önerilmektedir. CISA, kullanıcıların güvenlik açığı riskini en aza indirmek için savunma önlemleri almalarını önermektedir. Kurum ayrıca, kuruluşlara savunma önlemlerini uygulamaya koymadan önce uygun etki analizi ve risk değerlendirmesi yapmalarını tavsiye etmektedir.

CISA, iletişim ve ticari uygulama sektörlerinde küresel olarak kullanılan Siemens Siveillance Video 2022 R2'nin zayıf kimlik doğrulama güvenlik açığı içerdiğinin tespit edildiğini açıkladı. Bu güvenlik açığı, kimliği doğrulanmamış bir uzak saldırganın geçerli bir hesap olmadan uygulamaya erişmesine izin verebilmektedir.

Siemens, Siveillance Video 2022 R2 için bir düzeltme yayınlayarak bu düzeltmenin mobil sunucunun tüm kurulumlarına uygulanmasını tavsiye etmektedir. Kullanıcılara, Mobile Server Installer'ın en son düzeltmesini uygulayarak V22.2a(80) veya sonraki bir sürüme güncelleme yapmaları tavsiye edilmiştir.

Şirket ayrıca, kullanıcıların riski azaltmak için tüm mobil sunucularda 'Sunucular > Mobil Sunucular > Mobil sunuculara yerleşik yönetici rolü erişimini engelle' özelliğini etkinleştirmesini önermiştir.

CISA ayrıca Delta Electronics'in DIAEnergie donanımında, veri tabanı içeriğini değiştirmek ve sistem komutlarını yürütmek için rastgele kod enjekte etmesine izin verebilecek siber güvenlik açığını duyurmuştur. Bu güvenlik açıkları Michael Heinzl tarafından güvenlik kurumuna bildirilmiştir.

Siteler arası komut dosyası oluşturma ve SQL enjeksiyon siber güvenlik açıkları, kritik üretim sektöründe DIAEnergie endüstriyel enerji yönetim sistemini etkilemektedir. Delta, v1.9.01.002'yi herkese açık olarak yayınlamamıştır ve kullanıcıların bu güncellenmiş sürümü almak için Delta temsilcileriyle iletişime geçmelerini önermektedir.

CISA, Delta Electronics'in enerji sektöründe kullanılan InfraSuite Device Master ekipmanının siber güvenlik açıklarını duyurmuştur. Bu güvenlik açıkları, güvenilmeyen verilerin seri durumdan çıkarılmasını, yol geçişi ve kritik işlev için eksik kimlik doğrulamasını içermektedir. Ajans, "Bu güvenlik açıklarının, kimliği doğrulanmamış bir saldırganın uzaktan kod yürütmesine, dosyaları uzaktan silerek veya grup ayrıcalıklarını değiştirerek hizmet reddi durumuna neden olabileceğini veya yerel yönetici ayrıcalıklarıyla dosyaları uzaktan okuyup yazmasına izin verebileceğini belirtmiştir.

Delta Electronics InfraSuite Device Master sürümleri 00.00.01a ve önceki versiyonlarda Delta'nın aynı donanımının, ağ geçidi hizmet bağlantı noktası aracılığıyla kullanıcı tarafından sağlanan verilerin, uygun doğrulama olmadan seri durumdan çıkarıldığı açıklanmıştır. Saldırgan, seri durumdan çıkarma sonrasında rasgele kod yürütmek için kötü amaçlı serileştirilmiş nesneler kullanabilir.

Delta Electronics InfraSuite Aygıt Ana Sürüm 00.00.01a ve önceki sürümler, .ZIP arşivlerinde kullanılan karakterlerin uzaktan kod yürütülmesine neden olabileceğini belirtmiştir. Delta Electronics InfraSuite Cihaz Ana Sürümleri 00.00.01a ve önceki sürümlerdeki veritabanı yedekleme işlevi, uygun kimlik doğrulamasından yoksundur. Saldırgan, kimlik doğrulaması olmadan bir yedeklemede zamanlama işlevi için bir işlem kodunu etkinleştirebilen kötü amaçlı serileştirilmiş nesneler sağlayabilir. Bu işlev, kullanıcının tüm işlev bağımsız değişkenlerini ve yürütülecek dosyayı atamasını sağlar. CISA Bu açıkların, saldırganın herhangi bir yeni süreci başlatmasına ve uzaktan kod yürütmesine izin verebileceğini açıklamıştır.

Güvenlik ajansı, Delta Electronics InfraSuite Aygıt Ana sürüm 00.00.01a ve önceki sürümlerinin, kimliği doğrulanmamış kullanıcıların WriteConfiguration yöntemini tetiklemesine izin verdiğini ve bunun bir saldırganın UserListInfo.xml gibi kullanıcı yapılandırma dosyaları için yeni değerler sağlamasına ve potansiyel olarak yönetici şifrelerini değiştirebileceğini belirtmiştir. Delta Electronics InfraSuite Aygıt Ana sürüm 00.00.01a ve önceki sürümleri, kimliği doğrulanmamış kullanıcıların, bir saldırganın 'RunningConfigs' dizininden herhangi bir dosyayı almasına izin verebilecek olan çalışan uç noktasına erişmesine izin verebileceğini açıklamıştır. Saldırgan daha sonra UserListInfo.xml gibi mevcut yönetici parolalarını görmelerini sağlayacak yapılandırma dosyalarını görüntüleyebilir ve değiştirebilir şeklinde eklemede bulunmuştur.

CISA, Hitachi Energy DMS600'ün uzaktan yararlanılabilen ve düşük saldırı karmaşıklığı olan, kontrolsüz bileşen güvenlik açığına güvendiğini belirtmiştir. Bu siber güvenlik açıklarını ihlal etmek, bir saldırganın bilgilere yetkisiz erişim sağlamasına izin verebilmektedir.

CISA, Küresel enerji sektöründe kullanılan Hitachi Energy MicroSCADA X DMS600 v4.5, PostgreSQL'in etkilenen bir sürümü kullandığında güvenlik açığı olduğunu açıklamıştır. “Belirli SQL dizi değerlerini değiştirirken, eksik sınır kontrolleri, kimliği doğrulanmamış veri tabanı kullanıcılarının geniş bir sunucu belleği alanına rastgele bilgi yazmasına izin vermektedir. Bu güvenlik açığının, saldırganların verilere erişmesine izin vererek gizlilik ve bütünlük sorunlarına neden olabileceğini eklemektedir.

CISA ayrıca, Hitachi Energy MicroSCADA X DMS600 v4.5, PostgreSQL'in etkilenen bir sürümünü kullandığında bir güvenlik açığı oluşacağını, "Amaca uygun hazırlanmış bir tabloda bir 'INSERT … ON CONFLICT … DO UPDATE' komutu kullanıldığında, kimliği doğrulanmamış bir veri tabanı kullanıcısının, sunucu belleğini okuyabileceğini belirtmiştir.

CISA, Johnson Controls'ün bir yan kuruluşu olan CKS'nin ekipmanlarında siteler arası komut dosyası çalıştırma güvenlik açığı bulunduğunu duyurmuştur. Bir dağıtık yönetim ve faturalandırma sistemi olan CKS CEVAS, bir kullanıcının kimlik doğrulamasını atlamasına ve özel hazırlanmış SQL sorgularıyla verileri almasına izin verebilmektedir. Christian Vierschilling ve Caroline Moesler, bu güvenlik açığını Johnson Controls'e bildirmiştir.

CISA, bir HARTFORD 5A-65E CNC makinesini kontrol eden Heidenhain TNC 640'ta, yanlış kimlik doğrulamaya olanak tanıyan uzaktan yararlanılabilir bir güvenlik açığı tespit edildiğini açıkladı. Birden çok kritik altyapı sektöründe kullanılan siber güvenlik açığından yararlanılması, hassas verilerin kaybına, bilgilerin manipülasyonuna ve hizmet reddine neden olabilir.

HARTFORD 5A-65E CNC makinesini kontrol eden HEROS 5.08.3’ü çalıştıran Heidenhain Controller TNC 640, sürüm 340590 07 SP5, uygunsuz kimlik doğrulamaya karşı savunmasızdır; bu bir saldırganın üretim hattında hizmeti reddetmesine, üretim hattından hassas verileri çalmasına neden olabilir. CISA, üretim hattı tarafından oluşturulan herhangi bir ürününün değiştirebileceğini açıkladı. Trend Micro'dan Marco Balduzzi bu güvenlik açığını CISA'ya bildirmiştir.

Heidenhain, azaltıcı önlemler geliştirmek için She Hong Industrial Co. Ltd.'ye ait HARTFORD Machinery ile birlikte çalışmaktadır. Heidenhain, Sömürü riskini azaltmak için kullanıcılara denetleyicinin HEROS işletim sistemindeki entegre güvenlik duvarı aracılığıyla LSV2 ve DNC iletişimini engellemelerini, etkilenen cihazların ağını izole etmek ve segmentlere ayırmak için bölge güvenlik duvarlarını kullanmalarını ve makine satıcılarından SSH tünellemenin standart olduğu yeni bir yazılım sürümü güncellemelerini istemelerini tavsiye etmiştir.

Kaynak:https://industrialcyber.co/industrial-cyber-attacks/cisa-reveals-cyber-security-vulnerabilities-in-siemens-hitachi-energy-johnson-controls-delta-electronics/