Sektörden Haberler

Kablosuz IoT Cihazları EKS Altyapılarında Tehlikeler Saçıyor

20 Şubat 2023

İsrailli endüstriyel siber güvenlik şirketi Otorio, Operasyonel Teknoloji (OT) ortamlarında kullanılan dört farklı satıcıya ait kablosuz endüstriyel nesnelerin interneti (IoT) cihazlarında 38 adet güvenlik açığı olduğunu açıkladı.

Şirket açıklamasında; tehdit aktörleri, kablosuz IoT cihazlarındaki güvenlik açıklarını, dahili OT ağlarına ilk erişim elde etmek, güvenlik katmanlarını atlamak, hedef ağlara sızmak, kritik altyapıları riske atmak veya üretimi kesintiye uğratmak için kullanabileceklerini söyledi.

Kusurlar kısaca; saldırı için uzak bir giriş noktası sunarak, kimliği doğrulanmamış saldırganların bir yer edinmesine ve ardından bunu diğer ana bilgisayarlara yayılmak için kullanmasına ve böylece ciddi hasara neden olmasına olanak tanımaktadır.

Güvenlik araştırmacısı Roni Gavrilov, saldırganların internet üzerinden OT ağına doğrudan erişim sağlayabileceğini belirtmiştir.

 

38 kusurdan üçü- CVE-2022-3703, CVE-2022-41607 ve CVE-2022-40981 - ETIC Telecom'un (RAS) Uzaktan Erişim Sunucusunu etkilemektedir ve hassas cihazların kontrolünü tamamen ele geçirmek için kullanılabilmektedir.

Diğer beş güvenlik açığı ise InHand Networks, InRouter 302 ve InRouter 615 ürünleri ile ilgilidir. Eğer istismar edilirse komut enjeksiyonuna, bilgilerin açığa çıkmasına ve kod yürütmeye neden olabilmektedir.

Spesifik olarak, operatörlerin yapılandırma değişiklikleri ve üretici yazılımı yükseltmeleri gibi uzaktan eylemler gerçekleştirmek için, bulut tarafından yönetilen her InRouter cihazından yararlanması gerekmektedir.

Ayrıca, Sierra Kablosuz AirLink Router'da ( CVE-2022-46649 ve CVE-2022-46650 ) hassas bilgilerin kaybolmasına ve uzaktan kod yürütülmesine izin verebilecek iki zayıflık tespit edilmiştir.

Bulgular, IoT cihazlarını internetten doğrudan erişilebilir hale getirerek OT ağlarının riske atıldığının altını çiziyor ve tüm güvenlik korumalarını atlayabilen "erişim noktası" oluşturduğunu belirtiyor.

Alternatif olarak yerel saldırganlar, tesis içi Wi-Fi veya hücresel kanalları hedefleyerek endüstriyel Wi-Fi erişim noktalarına ve hücresel ağ geçitlerine girerek büyük etkiye sahip ortadaki düşman (AitM) senaryolarına yol açabilmektedir.

Saldırılar; zayıf şifreleme şemalarını hedeflemekten, elektronik cihazlarda yaygın olarak kullanılan kombo çipleri hedef alan birlikte var olma saldırılarına kadar değişmektedir.

Otorio; “bunu başarmak için yüksek değerli endüstriyel ortamları belirlemek, fiziksel olarak konumlandırmak ve erişim noktalarını yakın mesafeden kullanmak için dünya çapındaki farklı kablosuz bağlantı noktalarından oluşan bir veritabanı olan WiGLE gibi platformları kullanılmaktadır.” Açıklamasında bulunmuştur.

Karşı önlem olarak; güvenli olmayan şifreleme düzenlerinin devre dışı bırakılması, Wi-Fi ağ adlarının gizlenmesi, kullanılmayan bulut yönetim hizmetlerin devre dışı bırakılması ve cihazların herkesin erişimine açılmasını önlemek için erişim kontrol adımlarının atılması, ayrıca çoklu erişim faktörü kullanılması önerilmektedir.

Şirket, saldırıların basitliği  geniş potansiyel etkiyle birleştiğinde, kablosuz IoT cihazlarını ve bunların bulut tabanlı yönetim platformlarını, endüstriyel ortamları ihlal etmek isteyen saldırganlar için cazip bir hedef haline getirdiğini belirtmiştir.

Otorio'nun Siemens Otomasyon Lisans Yöneticisi'ndeki (CVE-2022-43513 ve CVE-2022-43514) uzaktan kod yürütme ve ayrıcalık yükseltme elde etmek için birleştirilebilen iki yüksek önemdeki kusurun ayrıntılarını ifşa etmesiyle ortaya çıkmıştır. Siemens tarafından zafiyetler için Ocak 2023'te güvenlik yaması yayınlamıştır.

Kaynak: https://thehackernews.com/2023/02/critical-infrastructure-at-risk-from.html