Sektörden Haberler

CISA, Mitsubishi Electric PLC'lerini Etkileyen Çoklu Kritik Güvenlik Açıkları Konusunda Uyarıda Bulundu

02 Aralık 2022

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2022 Kasım ayı sonunda Mitsubishi Electric GX Works3 mühendislik yazılımındaki birden çok güvenlik açığına ilişkin bir Endüstriyel Kontrol Sistemleri (ICS) uyarısı yayınlamıştır.

Ajans, Bu güvenlik açıklarının, yetkisiz kullanıcıların; MELSEC iQ-R/F/L serisi CPU modüllerine ve MELSEC iQ-R serisi OPC UA sunucu modülüne erişim sağlayabileceği veya programları görüntüleyip yürütebilmesine neden olabileceğini açıklamıştır.

GX Works3 , ICS ortamlarında kullanılan, denetleyiciler arası program yüklemek ve indirmek, yazılım ve donanım sorunlarını gidermek ve bakım işlemlerini gerçekleştirmek için bir mekanizma görevi gören  mühendislik iş istasyonu yazılımıdır.

Çok işlev yelpazesine sahip olmalarından dolayı, yönetilen PLC'leri ele geçirmek isteyen saldırganlar için onları çekici bir hedef haline getirmektedir.

Mevcut 10 eksiklikten üçü, hassas verilerin açık metin olarak depolanmasıyla, dördü sabit kodlu bir kriptografik anahtarın kullanımıyla, ikisi sabit kodlu bir parolanın kullanımıyla ve biri de yetersiz korunan kimlik bilgileriyle ilgilidir.

Hataların en kritikleri olan CVE-2022-25164 ve CVE-2022-29830 , 9.1 CVSS puanı taşımaktadır ve herhangi bir izin gerektirmeden CPU modülüne erişim sağlamak ve proje dosyaları hakkında bilgi almak için kötüye kullanılabilir.

CVE-2022-29831'i (CVSS puanı: 7.5) keşfeden Nozomi Networks, bir güvenli PLC proje dosyasına erişimi olan bir saldırganın güvenli CPU modülüne doğrudan erişmek için sabit kodlanmış parolayı kullanabileceğini ve potansiyel olarak endüstriyel süreçleri bozabileceğini açıklamıştır.

Şirket, mühendislik yazılımının, endüstriyel kontrolörlerin güvenlik zincirinde kritik bir bileşeni temsil ettiğini, herhangi bir güvenlik açığı ortaya çıkması durumunda saldırganların, yönetilen cihazları ve sonuç olarak denetlenen endüstriyel süreci tehlikeye atmak için bu açıkları kötüye kullanabileceğini belirtmiştir.

 CISA, Mitsubishi Electric MELSEC iQ-R Serisinde uygun giriş doğrulama eksikliğinden CVE-2022-40265, (CVSS puanı: 8.6) kaynaklanan bir hizmet reddi (DoS) güvenlik açığının ayrıntılarını bulması nedeniyle bu açıklamaları yapmıştır.

CISA, Bu güvenlik açığından dolayı, kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış paketler göndererek hedef üründe hizmet reddi saldırısına (DoS) neden olabileceğini belirtmiştir.

Siber güvenlik ajansı, konu ile ilgili olarak, Horner Automation'ın Uzaktan Kompakt Denetleyicisi (RCC) 972'yi etkileyen üç sorunu da ayrıntılı olarak özetlemiştir. Bunlardan en kritik olanı CVE-2022-2641, (CVSS puanı: 9,8) uzaktan kod yürütülmesine veya hizmet reddi saldırısına (DoS) imkan vermektedir.

 

Kaynak: https://thehackernews.com/2022/12/cisa-warns-of-multiple-critical.html