Kaspersky ICS CERT, Schneider Electric’in Birleşik Mesajlaşma Uygulama Hizmetlerini (UMAS) ve üretimden asansör kontrol sistemlerine kadar birçok sektörde kullanılan son derece popüler protokolünün güvenlik açıklarını araştırdı. Saldırganlar, güvenlik açıklarından yararlanarak bir tesisin tüm otomasyon sistemine erişim sağlayabiliyor.
UMAS (Birleşik Mesajlaşma Uygulama Hizmetleri) Schneider Electric’in Schneider Electric Endüstriyel Denetleyicilerini yapılandırmak, izlemek, veri toplamak ve kontrol etmek için kullanılan tescilli protokolü. Bu protokolün kullanımı farklı endüstriler arasında oldukça yaygın. Kaspersky ICS CERT uzmanları tarafından açıklanan sorunlar, programlanabilir mantık denetleyicisine (PLC) yetkisiz erişim ve siber suçluların kimlik doğrulamasını atlamak için kullandığı yolları ortaya koyuyor
2020 yılında, kontrolcüde halihazırda doğrulanmış bir operatörün ayrıcalıklarıyla programlanabilir bir mantık denetleyicisinin (PLC) kontrolünü ele geçirmek için, uzaktan yetkisiz bir saldırgan tarafından kullanılabilen CVE-2020-28212 kodlu güvenlik açığı bildirilmişti. Schneider Electric, söz konusu güvenlik açığını ele almak için PLC’lere yetkisiz erişim ve istenmeyen değişikliklere karşı koruma sağlaması gereken yeni bir mekanizma olan uygulama şifresini geliştirdi
Kaspersky ICS CERT uzmanları tarafından yapılan analiz, yeni güvenlik mekanizmasının uygulanmasında da kusurları olduğunu gösteriyor. Araştırma sırasında tanımlanan CVE-2021-22779 güvenlik açığı, uzak bir saldırganın PLC’de değişiklik yapmasına izin vererek kimlik doğrulamasını atlayabiliyor. Araştırmacılara göre asıl sorun, cihazı değişiklik amacıyla “rezerve etmek” için kullanılan kimlik doğrulama verilerinin tamamen istemci tarafında hesaplanması ve kullanılan sırrın kimlik doğrulama olmadan PLC’den elde edilebilmesi.
Schneider Electric, güvenlik açıklarını ele alan bir düzeltme içeren bir tavsiye belgesi yayınladı. Kaspersky ICS CERT, PLC cihazlarına uzaktan erişim girişimlerini izlemek ve kontrol etmek için ek olarak ağ izleme ve Kaspersky Industrial CyberSecurity for Networks gibi derin endüstriyel protokol analiz çözümlerini kullanmanızı öneriyor.
Kaspersky ICS CERT Güvenlik Uzmanı Pavel Nesterov, şunları söylüyor:
“Tehdit ortamı sürekli gelişiyor. Kuruluşların güvenlik stratejisi yeni zorluklarla başa çıkmak için sürekli olarak gelişmek zorunda. Bugün, siber güvenlik sistemi kurmak sonu olan bir hedef değil, sürekli devam eden proaktif bir süreçtir. Bu, UMAS protokolü örneğiyle kanıtlandı. Schneider Electric’e keşfedilen güvenlik açıklarına bu kadar hızlı yanıt vermeyi ve müşterilerine uygun çözüm ve önerileri sunmayı başardığı için minnettarız. Ancak bir kuruluşun güvenliğinden sorumlu olan herkese tavsiyemiz, özel çözümler uygulamaktır.”
ICS bilgisayarlarınızı tehditlerden korumak için Kaspersky uzmanları şunları öneriyor:
- Kuruluş ağının parçası olan işletim sistemlerini ve uygulama yazılımını düzenli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin düzenli güvenlik denetimlerini gerçekleştirin.
- Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve algılama ürünü kullanın. Özel Komuta Kontrol modülü, saldırgan “Yedek denetleyici” komutunu yürütmeye çalıştığında, UMAS protokolündeki güvenlik açıklarından yararlanmaya çalıştığını algılar. Başka bir modül olan Ağ Bütünlüğü Kontrolü, yetkisiz ağ bağlantılarını kaydeder. Tüm olaylar bir raporda birleştirilir ve daha fazla araştırma için yöneticiye gönderilir.
- Yeni ve gelişmiş kötü amaçlı saldırı tekniklerine yanıtı iyileştirmek için BT güvenlik ekipleri ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
- Endüstriyel kontrol sistemlerini korumaktan sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayın.
Kaynak : 