Bir güvenlik sağlayıcısının Rockwell Automation’ın programlanabilir mantık denetleyicisi (PLC) platformuna ilişkin son analizi, saldırganlara otomasyon süreçlerini değiştirme ve potansiyel olarak endüstriyel operasyonları bozma, fabrikalara fiziksel zarar verme veya başka kötü niyetli eylemlerde bulunma yolu sağlayan iki ciddi güvenlik açığını ortaya çıkardı.
Claroty Team82’den araştırmacılar, güvenlik açıklarını keşfettiler ve bu hafta, saldırganların herhangi bir olağandışı davranışı tetiklemeden bir PLC’de kötü niyetli kod çalıştırmalarına izin vermeleri nedeniyle, bu açıkları doğaları gereği Stuxnet benzeri olarak tanımladılar.
Rockwell Automation, müşterileri için iki kusur hakkında aynı anda tavsiyeler yayınladı. Tavsiyelere erişilebilir burada ve buradahesabı olanlara.
Güvenlik açıkları tetiklendi bir uyarı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü, etkilenen bileşenleri kullanan kuruluşları hafifletme önlemlerine ve tehdidi ele almak için bir algılama yöntemine yönlendiriyor. Ajans, güvenlik açıklarının dünya çapında kritik altyapı sektörü organizasyonlarını etkilediğini söylüyor. Güvenlik açıklarının düşük saldırı karmaşıklığı içerdiğini ve bunlardan birinin uzaktan sömürülebilir olduğunu belirler.
Uzaktan Sömürülebilir Güvenlik Açığı
Uzaktan istismar edilebilir güvenlik açığı (CVE-2022-1161) maksimum önem derecesi 10’dur ve Rockwell’in ControlLogix, CompactLogix ve GuardLogix kontrol sistemlerinde çalışan PLC belleniminde bulunur.
Claroty’de araştırma başkan yardımcısı Amir Preminger, bunların Rockwell’in kataloğundaki önde gelen PLC serileri olduğunu söylüyor. Preminger, “Bu cihazlar otomotiv, yiyecek ve içecek ve petrol ve gaz dahil olmak üzere neredeyse tüm sektörlerde yaygın olarak bulunuyor” diyor. “Onları görmeyi beklemeyeceğimiz tek sektör, güç iletimi ve dağıtımıdır.”
Preminger, güvenlik açığının PLC’nin yürütülebilir dosyayı – veya bayt kodunu – ve kaynak kodunu (diğer adıyla metin kodu) PLC’deki ayrı konumlarda saklamasına bağlı olduğunu söylüyor. Bu, saldırganlara kaynak kodunu değiştirmeden bayt kodunu değiştirmenin bir yolunu verir.
Preminger, “PLC, ikisinin uyumlu olmasını gerektirmez” diyor. “Bir mühendis bir PLC’ye bağlandığında, aynı metinsel kodun çalıştığını görürken, değiştirilen bayt kodu, herhangi bir değişiklik belirtisi olmadan çalışan kötü niyetli kodla sonuçlanır.” Claroty tanımlandı Etkilenen 17 Rockwell PLC modeli.
CISA’nın uyarısı, sorunun güvenilmeyen bir alandan işlevselliğin dahil edilmesini kontrol etmedeki başarısızlıktan kaynaklandığını söyledi. Sorunu çözmeye yönelik önerileri şunlardır: burada mevcut.
Kod Ekleme Güvenlik Açığı
İkinci güvenlik açığı (CVE-2022-1159), mühendislerin PLC’lerini programlamak için kullandıkları yazılım olan Rockwell Studio 5000 Logix Designer’da mevcuttur. Yazılım, mühendislerin yeni geliştirilen mantığı geliştirmelerine, derlemelerine ve şirketin programlanabilir mantık denetleyicileri serisine aktarmalarına olanak tanır.
Preminger, operasyonel teknoloji ortamlarındaki mühendislerin, PLC’nin kontrol ettiği herhangi bir süreci iyileştirmek, ince ayar yapmak veya değiştirmek için PLC’lerdeki karmaşık mantığa yükseltmeler yapmasının yaygın olduğunu söylüyor. Studio 5000 Logix Designer’daki güvenlik açığı, yazılımı çalıştıran iş istasyonunda zaten yönetici erişimi olan bir saldırganın, derleme sürecini ele geçirmesine ve herhangi bir uyarı tetiklemeden PLC’de çalıştırabileceği kötü amaçlı kod enjekte etmesine olanak tanır.
Preminger, “CVE-2022-1159, bir saldırganın, kullanıcının bilgisi olmadan derlenirken kodu değiştirmesine olanak tanır” diyor. “Bu, mühendisin PLC’ye aktardıklarını düşündüğü mantığın değişmesine neden olabilir.”
Güvenlik açığına, 10 üzerinden 7,7 önem derecesi atanmıştır; bu, onu yüksek öncelikli kılar, ancak kritik bir güvenlik açığı olması gerekmez. CISA’lar danışma kusur için bir kod enjeksiyon sorunu olarak adlandırdı.
Stuxnet Benzeri Saldırı Potansiyeli?
Her iki güvenlik açığı da farklı Rockwell Automation bileşenlerinde mevcuttur. Ancak saldırganların temelde aynı şeyi yapmalarını sağlarlar: sistem tarafından kontrol edilen fiziksel cihazlara ayarlanan yeni komutları tetiklemek için bir PLC’deki mantık akışını değiştirmek. Örnek olarak, Claroty araştırmacıları belirli etiketleri – veya otomasyon süreci değişkenlerini – farklı değerlere değiştirdiklerini ve bunun gerçek hayatta motor hızları gibi şeylerin bir otomasyon sürecine önemli zarar verecek şekilde manipüle edilmesiyle sonuçlanabileceğini söyledi.
Preminger, “Bu, Stuxnet tipi bir saldırıdır, çünkü Stuxnet, bir PLC’de yürütülen bayt kodunu gizleyen ve mühendislerin normal kodun yürütüldüğüne inanmasına izin veren ilk bildirilen saldırıydı” diyor. “Stuxnet, başka bir şeyin çalıştığına dair tüm görsel göstergeleri değiştirdi, bu da Stuxnet’in durumunda santrifüjlerin amaçlanandan daha hızlı dönmesine ve beklenmedik bir sonuca yol açmasına neden oldu.”
ICS güvenliğine ilişkin endişeler hiçbir şekilde yeni değildir. Ama son yıllarda arttılar. Claroty tarafından yakın zamanda yapılan bir araştırma, 2021’de bildirilen ICS güvenlik açıklarında 2020’ye kıyasla %52’lik bir artış buldu. Bu, 2019 ile 2020 arasında açıklanan ICS güvenlik açıklarındaki %25’lik artışa kıyasla önemli ölçüde daha yüksek bir büyüme. Geçen yıl ICS ürünleri güvenlik açıkları içeren 82 satıcıdan , 21 daha önce herhangi bir kusur bildirmemişti, bu da araştırmacıların ICS hatalarını daha geniş bir şekilde aramaya başladığı anlamına geliyor.
Claroty’nin geçen yıl yayınladığı önceki bir rapor, 2021’in ilk altı ayında açıklanan güvenlik açıklarının %90’ının düşük saldırı karmaşıklığına sahip olduğunu ve %71’inin “yüksek” veya “kritik” önem derecesine sahip olduğunu gösterdi. Her 10 kişiden altısından fazlası (%61) uzaktan yürütülebilirdi ve %74’ü yürütmek için herhangi bir ayrıcalık gerektirmiyordu.
Colonial Pipeline’daki saldırıya benzer saldırılar ve FBI’ın yakın zamanda yayınladığı kötü şöhretli Triton kötü amaçlı yazılım operatörlerinin enerji sektörü kuruluşlarına saldırmaya devam ettiğine dair raporlara benzer raporlar – 2017’de Suudi Arabistan’daki bir enerji şirketinde olduğu gibi – bu saldırıları önemli ölçüde daha da kötüleştirdi. endişeler. Bu tür endişeler, geçtiğimiz yıl ABD hükümetinin siber güvenlikle ilgili önemli yeni yatırımlarına ve girişimlerine katkıda bulundu.