Sektörden Haberler

Aveva HMI Firmasının Bildirdiği, SCADA Ürünlerinde Uzaktan Kullanılabilir Güvenlik Açıkları

08 Nisan 2023

Aveva'nın HMI ve SCADA ürünlerini kullanan endüstriyel kuruluşlar, potansiyel olarak ciddi güvenlik açıkları ile karşı karşıya kalmıştır.

 

İngiltere merkezli endüstriyel yazılım üreticisi Aveva, insan-makine arabirimi (Human-Machine Interface (HMI)) ve denetleyici kontrol ve veri toplama (SCADA) ürünlerinde potansiyel olarak ciddi güvenlik açıkları olduğunu duyurmuştur.

 

Aveva ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından geçen hafta yayınlanan güvenlik raporunda, InTouch Access Anywhere HMI ve Plant SCADA Access Anywhere ürünlerinde üç güvenlik açığı yer aldığını ve tüm güvenlik açıklarını yamalayan yazılım güncellemelerinin satıcıdan temin edilebileceğini bildirmiştir.

 

CISA,  ilk olarak 2022'de, bir Alman siber güvenlik firması olan Crisec'in danışmanı Jens Regel tarafından keşfedilen yüksek önem dereceli tek bir yol geçişi sorunu hakkında kuruluşlara bilgi vermişti. CISA şimdi ek kusurlar hakkında bilgi eklemek için ilk raporunu güncellemiştir.

 

Regel tarafından bulunan ve CVE-2022-23854 olarak izlenen güvenlik açığı; Güvenli ağ geçidine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın, güvenli ağ geçidi web sunucusunun dışındaki sistemlerde bulunan dosyaları okumasına izin verebilmektedir.

 

Araştırmacı Regel, SecurityWeek'e verdiği demeçte bir Shodan aramasının, kabaca 1.100 internete açık sistem gösterdiğini, tüm açık sistemlerin bu kusurdan etkilenmediğini, ancak yol geçişi güvenlik açığının ana bilgisayar sistemindeki herhangi bir dosyaya erişmeyi ve içeriğini okumayı mümkün kıldığını ve bir saldırganın erişim verilerinin depolandığını, yapılandırma dosyaları gibi hassas bilgilere erişim elde edilirse bunun gerçek bir sorun haline gelebileceğini, InTouch Access Anywhere ağ geçidi cihazlarına genellikle internetten erişim sağlandığını ve uzaktaki saldırganların güvenlik açıklıklarından yararlanabileceğini belirtmektedir. Ayrıca “Kullanıcı etkileşiminin gerekli olmadığını, güvenlik açığının, “curl” gibi bir komut satırı aracı kullanılarak çok kolay bir şekilde kullanılabileceğini açıklamıştır.

Aveva, InTouch Access Anywhere ve Plant SCADA Access Anywhere ürünlerini etkileyen diğer iki kusurla birlikte bu güvenlik açığını da tanımlayan bir rapor yayınlamıştır.

 

Bu kusurlar, üçüncü taraf bileşenlerini etkilemektedir. Biri, hizmet reddi (DoS) saldırılarına veya rastgele kod yürütülmesine yol açabilen kritik bir OpenSSL hatası, diğeri ise savunmasız bir jQuery sürümünün kullanımıyla ilgili orta düzeyde bir sorundur.

 

CISA, OpenSSL ve jQuery güvenlik açıklarına 2023 raporunda yer vermiştir.

Birleşik Krallık'ın Ulusal Siber Güvenlik Merkezi (NCSC), yakın zamanda Aveva'nın Tesis SCADA ve Telemetri Sunucusu ürünlerinde bir güvenlik açığı bulduğu için kaydedilmiştir. Devlet kurumu, kimliği doğrulanmamış bir saldırganın verileri uzaktan okumasına, bir DoS durumuna neden olmasına ve alarm durumlarını kurcalamasına izin verebilecek kritik bir güvenlik açığı keşfetmiştir.

 

Güvenlik açığının açıklandığı rapor geçen hafta CISA ve Aveva tarafından yayınlanmıştır.

 

NCSC, SecurityWeek'in Aveva güvenlik açıkları ve ICS güvenlik açığı araştırması hakkındaki sorularına genel olarak yanıt vermemiştir. Ajans, yakın zamanda Honeywell'in OneWireless Wireless Device Manager ürününde bulunan bilgilerin açığa çıkması ve komut yürütme güvenlik açıklarının ortaya çıkarılması için de kaydedilmiştir.

 

Kaynak: https://www.securityweek.com/organizations-notified-of-remotely-exploitable-vulnerabilities-in-aveva-hmi-scada-products/