Sektörden Haberler

CISA’dan yeni bir uyarı; Siemens, GE Digital ve Contec Endüstriyel Kontrol Sistemlerindeki Güvenlik Açığı

18 Aralık 2023

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Endüstriyel Kontrol Sistemlerinde kullanılan Siemens, GE Digital ve Contec ürünlerini etkileyen çeşitli güvenlik açıklarına dikkat çeken dört adet rapor yayınlamıştır.

Siemens SINEC INS'de, bir yol geçiş kusuru (CVE-2022-45092, CVSS puanı: 9.9) ve komut enjeksiyonu (CVE-2022-2068, CVSS puanı 9:8) aracılığıyla uzaktan kod yürütülmesine yol açabilecek sorunları en kritikleri olarak belirlenmiştir.

Ayrıca Siemens tarafından yamalanmış olan, HTTP ayrıştırıcısındaki (CVE-2022-35256, CVSS puanı: 9.8) kimlik doğrulama güvenlik açığı ve OpenSSL kitaplığında (CVE-2022-2274, CVSS puanı: 9.8) yazma hatası ile uzaktan kod yürütmeyi tetiklemek için kullanılabileceği belirtilmiştir.

Alman otomasyon şirketi, kusurları azaltmak için Aralık 2022'de Service Pack 2 Update 1 yazılımını yayınlamıştır.

GE Digital'in Proficy Historian çözümünde, kimlik doğrulama durumundan bağımsız olarak kod yürütülmesine neden olabilecek kritik bir kusur da ortaya çıkmıştır. CVE-2022-46732 (CVSS puanı: 9.8) olarak izlenen sorun, Proficy Historian 7.0 ve sonraki sürümleri etkilenmiş ve Proficy Historian 2023'te düzeltilmiştir.

Endüstriyel güvenlik şirketi Claroty'de güvenlik araştırmacısı olan Uri Katz, Bir saldırganın bu açıktan faydalanabileceğini ve yerel bir hizmeti taklit ederek Historian kimlik doğrulamasını atlayabileceğini, bu durumun uzaktaki saldırganların herhangi bir GE Proficy Historian sunucusunda oturum açma ve yetkisiz eylemler gerçekleştirmesine olanak sağlayabileceğini belirtmiştir.

CISA Aralık 2022 tarihinde yayınladığı EKS raporunu güncelleyerek, Contec CONPROSYS HMI Sisteminde kritik bir komut enjeksiyon güvenlik açığını detaylandırmıştır. Bu açık  (CVE-2022-44456, CVSS skoru: 10.0) uzaktaki bir saldırganın rastgele komutları yürütmek için özel hazırlanmış istekler göndermesine izin verebilmektedir.

Bu eksiklik Contec tarafından 3.4.5 sürümünde yamalanmış olsa da, yazılımın o zamandan beri bilgilerin ifşasına ve yetkisiz erişime yol açabilecek kusurlara karşı savunmasız olduğu bulunmuştur.

CONPROSYS HMI Sistemi kullanıcılarının, ağ maruziyetini en aza indirmek ve bu tür cihazları iş ağlarından izole etmek için adımlar atmanın yanı sıra 3.5.0 veya sonraki bir sürüme güncelleme yapmaları önerilmektedir.

CISA'nın Sewio, InHand Networks, Sauter Controls ve Siemens yazılımlarını etkileyen kritik kusurlara ilişkin uyarıyı yayınlamasından bir haftadan kısa bir sürede yeni bir rapor yayınlaması da dikkat çekicidir.

 

Kaynak:  https://thehackernews.com/2023/01/cisa-warns-of-flaws-in-siemens-ge.html