Sektörden Haberler

CISA, Carlo Gavazzi, Mitsubishi Electric, Hitachi Energy Ve Johnson Controls Ekipmanındaki EKS Güvenlik Açıklarını Açıkladı.

20 Mayıs 2023

CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), 18 Mayıs’ta Carlo Gavazzi, Mitsubishi Electric, Hitachi Energy ve Johnson Controls'un donanımlarında siber güvenlik açıklarının bulunduğunu duyurmuştur. İlgili kullanıcılar ve yöneticiler teknik ayrıntıları ve etkilerini azaltma yöntemleri için yeni yayınlanan ICS (endüstriyel kontrol sistemleri) raporunu incelemeleri gerekmektedir.

CISA, Carlo Gavazzi'nin Powersoft enerji yönetimi yazılımına bir saldırganın, sunucuya yönelik özel hazırlanmış GET istekleri yoluyla herhangi bir dosyaya erişmesine ve herhangi bir dosyayı almasına izin verebilecek bir dizin yol geçişi (path traversal) güvenlik açığı içerdiğini ve CVSS v3 taban puanının 7,5 olarak hesaplandığını, kritik üretim sektöründe küresel olarak dağıtılan Powersoft'un 2.1.1.1 ve önceki sürümlerinin siber güvenlik açığı içerdiği açıklamıştır.

CISA, Carlo Gavazzi’nin, ürünün kullanım ömrünün sonuna geldiği için bir düzeltme yayınlamayacağını ve kullanıcıların daha fazla bilgi için satıcıyla iletişime geçmesi gerektiğini söylemiştir.

CISA, kullanıcıların bu güvenlik açığından zarar görme riskini en aza indirmek için savunma önlemleri almalarını önermektedir. Özellikle, kullanıcıların tüm kontrol sistemi ağ güvenlik zafiyetini en aza indirmesini ve İnternet'ten erişilemediğinden emin olmasını, Ayrıca kontrol sistemi ağlarını ve uzak cihazları güvenlik duvarlarının arkasına yerleştirmesini ve bunları iş ağlarından izole etmesini, uzaktan erişim gerektiğinde, sanal özel ağlar (VPN'ler) gibi güvenli yöntemler kullanmasını, VPN'lerin güvenlik açıkları olabileceğini ve mevcut en güncel sürüme güncellenmesi gerektiğini önermektedir.

CISA ayrıca kuruluşlara savunma önlemlerini uygulamadan önce uygun etki analizi ve risk değerlendirmesi yapmalarını hatırlatmaktadır.

Ajans ayrıca, Mitsubishi Electric'in kritik üretim sektöründe küresel olarak dağıtılan, ethernet arayüz modülü WS0-GETH00200'de aktif hata ayıklama kodu güvenlik açığının bulunduğunu da açıklanmıştır. Bu güvenlik açığından yararlanılması, bir saldırganın kimlik doğrulamasını atlamasına ve modülü sıfırlamak için telnet aracılığıyla modüle bağlanarak oturum açmasına, modülün yapılandırmasını ifşa etmesine, değiştirmesine veya ürün yazılımını yeniden yazmasına izin verebileceğini açıklamıştır.

CISA, etkilenen ürünlerde gizli telnet işlevinin fabrikadan gönderildiğinde varsayılan olarak etkinleştirildiğini ve kimliği doğrulanmamış uzak bir saldırganın telnet aracılığıyla bağlanarak oturum açmasına izin verebileceğini açıklamıştır.

Bu güvenlik açığı için CVSS v3 taban puanı 7,5 olarak hesaplanmış ve Mitsubishi Electric tarafından CISA’ya bildirilmiştir.

Mitsubishi tarafından ortaya konan geçici çözümlerden bazıları; telnet oturumları için üçüncü şahısların tahmin etmesi zor olan şifreler belirlemeyi içermektedir. Parola en fazla 15 karakter uzunluğunda olabilmektedir.  Alternatif olarak Mitsubishi Electric, kullanıcıların İnternet erişimi gerektiğinde yetkisiz erişimi önlemek için bir güvenlik duvarı, VPN, ya da kapalı bir yerel alan ağ (LAN) içinde kullanmalarını, ayrıca, bu güvenlik açığından zarar görme riskini en aza indirmek için güvenilmeyen aygıtların LAN'a bağlanmamasını ve erişimin kısıtlanmasını öneriyorlar.

Nisan ayında CISA, Mitsubishi Electric Hindistan'ın kritik üretim sektöründe kullanılan GC-ENET-COM ekipmanında Sinyal İşleyici güvenlik açığının varlığını ortaya çıkarmıştır.  Açıklamada, bu güvenlik açığından yararlanılmasının, bir iletişim hatasına yol açabileceği ve hizmet reddi durumuyla sonuçlanabileceği ifade edilmiştir.

CISA, Hitachi Energy'nin MicroSCADA Pro/X SYS600 ürünlerinde, rasgele kod yürütmesine izin verebilecek güvenlik açığı ortaya çıkarmıştır.

CISA raporunda Hitachi Energy'nin MicroSCADA Pro/X SYS600 ürünlerinden SYS600: 9.4 FP2 rev 5 ve öncesi ve SYS600: 10.1.1 ve öncesi ürünlerin etkilendiğini belirlemiştir. 6.7'lik bir CVSS v3 taban puanı hesaplanarak, rapora eklenmiştir.

Hitachi Energy, SYS600 için kuruluşları en az SYS600 sürüm 10.2'ye yükseltmeye / güncellemeye veya genel etki azaltma faktörlerini uygulamayı önermiştir.

Hitachi Energy ayrıca, ağ dışından kaynaklanan saldırılardan korumaya yardımcı olabilecek güvenlik uygulamaları ve güvenlik duvarı yapılandırmaları ve süreç kontrol sistemlerinin yetkisiz personel tarafından doğrudan erişime karşı fiziksel olarak korunmasını, süreç kontrol sistemlerinin internete doğrudan bağlantısının olmamasını, internette gezinmeyi, anında mesajlaşmayı veya e-posta almak için süreç kontrol sistemlerinin kullanılmasından kaçınmayı, bir kontrol sistemine bağlanmadan önce taşınabilir bilgisayarların ve çıkarılabilir depolama ortamının kötü amaçlı yazılımlara karşı taranmasını ve uygun parola politikalarının ve süreçlerin takip edilmesini  önermektedir.

CISA, ayrıca Johnson Controls'un OpenBlue Enterprise Manager Veri Toplayıcı ekipmanında iki güvenlik açığının bulunduğunu duyurmuştur.

Ajans, uygunsuz kimlik doğrulama güvenlik açığının belirli koşullar altında, OpenBlue Enterprise Manager Veri Toplayıcısına yapılan API çağrılarının kimlik doğrulama gerektirmediğini açıklamıştır. Bu güvenlik açığı için 10.0 CVSS v3 taban puanı hesaplanmıştır.

CISA, İkinci güvenlik açığı ile ilgili, OpenBlue Enterprise Manager Veri Toplayıcıya yapılan API çağrıları, hassas bilgileri yetkisiz bir kullanıcıya ifşa edebilir açıklamasını yapmıştır. Bu güvenlik açığı için 5.0 CVSS v3 taban puanı hesaplanmıştır.

Northwestern Mutual'da bir güvenlik araştırmacısı olan Rushank Shetty, bu güvenlik açığını Johnson Controls aracılığıyla CISA’ya bildirmiştir. Rapor; Johnson Controls'un OpenBlue Enterprise Manager Data Collector ürün yazılımının 3.2.5.75 sürümüne güncellenmesini önerdiğini ve kullanıcıların güncellemeyi almak için Johnson Controls ile iletişime geçmesi gerektiğini belirtmiştir.

Kaynak: https://industrialcyber.co/cisa/cisa-reveals-ics-vulnerabilities-in-carlo-gavazzi-mitsubishi-electric-hitachi-energy-johnson-controls-equipment/?utm_campaign=meetedgar&utm_medium=social&utm_source=meetedgar.com