Araştırmacılar, üç endüstriyel hücresel yönlendirici satıcısının bulut yönetimi platformlarındaki on bir güvenlik açığının, platform aktif olarak bulut yönetimi için yapılandırılmamış olsa bile, operasyonel teknoloji (OT) ağlarını uzaktan kod yürütme açısından riske soktuğunu buldu.
Güvenlik açıkları o kadar ciddi ki, yalnızca üç sağlayıcının (Sierra Wireless AirLink, Teltonika Networks RUT ve InHand Networks InRouter) cihazlarını etkileseler de, çeşitli sektörlerdeki binlerce endüstriyel nesnelerin interneti (IIoT) cihazını ve ağını etkileyebilirler. Otorio’dan güvenlik araştırma ekibi lideri Eran Jacob ve güvenlik araştırmacısı Roni Gavrilov’u uyarın.
Araştırmacılar, Dark Reading’e “IIoT cihazları genellikle hem İnternet’e hem de dahili OT ağına bağlı olduğundan, bu cihazların ihlali, ortak dağıtımlardaki tüm güvenlik katmanlarını atlayabilir.” “Ayrıca yerleşik VPN aracılığıyla ek sitelere yayılma riskini de artırıyor.”
Araştırmacılar, saldırganların dahili OT ortamına doğrudan bağlantı kurması durumunda, fiziksel ortamdaki kullanıcılar için üretim ve güvenlik riskleri üzerinde etkiye yol açabileceğini de sözlerine ekledi.
Ayrıca, saldırganların güvenlik açıklarından yararlanabilecekleri bir dizi vektörü vardır; bunlara bir ters kabuk aracılığıyla kök erişimi elde etme; Yetkisiz erişim ve kök ayrıcalıklarıyla kontrolü kolaylaştırmak için üretim ağındaki cihazlardan taviz vermek; araştırmacılar, hassas bilgileri dışarı sızdırmak ve kapatma gibi işlemleri gerçekleştirmek için tehlikeye atan cihazlar olduğunu söyledi.
Gavrilov, şu adresteki kusurlarla ilgili önemli bulguları ve düzeltme ipuçlarını paylaştı: Siyah Şapka Asya 2023 geçen hafta şirket de Dark Reading ile paylaştığı bir rapor yayınlamıştı. Otorio’ya göre, tüm güvenlik açıkları satıcılar ve CISA ile koordinasyon içinde sorumlu bir şekilde ifşa edildi ve satıcılar tarafından hafifletildi.
Sorunların Yattığı Yer
Endüstriyel bir hücresel yönlendirici, birden fazla cihazın bir hücresel ağdan İnternet’e bağlanmasına izin verir. Araştırmacılar, bu yönlendiricilerin, geleneksel kablolu İnternet bağlantılarının mevcut veya güvenilir olmayabileceği üretim tesisleri veya petrol kuleleri gibi endüstriyel ortamlarda yaygın olarak kullanıldığını söyledi.
Gavrilov raporda “Endüstriyel hücresel yönlendiriciler ve ağ geçitleri, IIoT ortamındaki en yaygın bileşenlerden biri haline geldi” diye yazdı. “Kapsamlı bağlantı özellikleri sunarlar ve minimum değişiklikle mevcut ortamlara ve çözümlere sorunsuz bir şekilde entegre edilebilirler.”
Bu cihazların satıcıları, müşterilere OT ağlarında uzaktan yönetim, ölçeklenebilirlik, analitik ve güvenlik sağlamak için bulut platformlarını kullanır. Araştırmacılar, Dark Reading’e, özellikle bazı cihazlarda varsayılan olarak etkinleştirilen “IIoT cihazları ile bulut tabanlı yönetim platformları arasındaki bağlantıyla ilgili” çeşitli güvenlik açıkları buldular.
“Bu güvenlik açıkları, uzaktan yönetim platformlarına hem kayıtlı hem de kayıtlı olmayan cihazları etkileyerek çeşitli senaryolarda kullanılabilir” diyorlar. “Aslında, belirli cihazların bulut tabanlı yönetim platformlarına bağlanmasının varsayılan ayarlarında güvenlik zayıflıkları olduğu ve bu zayıflıkların saldırganlar tarafından hedef alınabileceği anlamına geliyor.”
Rapora göre, bu platformlara tipik bağlantı, cihaz-bulut iletişimi için MQTT gibi makineden makineye (M2M) protokollere ve kullanıcı yönetimi için Web arayüzlerine dayanıyor. MQTT, aracının konuları yönettiği ve cihazların yayınlanan bilgileri almak için abone olabileceği bir yayınlama-abone olma modelinde çalışır. Cihazların yönetimi için kullanıcı API’si ve Web arayüzünün yanı sıra bulut platformuyla başlatma iletişimi için yaygın olarak özel bir cihaz API’si de kullanılır.
saldırı vektörleri
Araştırmacılar, bu bağlantının üç temel alanında çeşitli saldırı vektörleri tarafından istismar edilebilecek kritik sorunlar belirlediler: varlık kayıt süreci, güvenlik yapılandırmaları ve harici API’ler ve Web arayüzleri, dediler.
“Saldırganlar, aşağıdaki gibi kaynaklardan yararlanarak belirli tesisleri hedef alabilir: WiGLE ve bilgi sızıntısı güvenlik açıkları (örneğin [those] InHand cihazlarda bulunan) veya binlerce cihaza geniş bir saldırı gerçekleştirerek daha geniş bir etki veya erişim hedefleyin” diyor araştırmacılar Dark Reading’e.
Ayrıca, güvenlik açıklarının kullanılması saldırganların operasyonel süreçlere müdahale etmesine olanak tanıyarak ortamda çalışanların güvenliğini riske atabilir.
Araştırmacılar, özellikle endüstriyel ağ saldırılarını hızlandıran fidye yazılımı grupları için son derece değerli olabilecek bir saldırı vektörünün, cihazların yerleşik VPN bağlantısı nedeniyle risk altında olan ilk erişim noktasının ötesindeki sitelere ulaşmak olduğunu söylüyor. Bu, saldırıların daha geniş bir ağ üzerinden kontrol merkezlerine ve SCADA (Denetleyici Kontrol ve Veri Toplama) sunucularına yayılmasına izin verebilir, diyorlar.
Azaltma Stratejileri
Araştırmacılar, hem OT ağ yöneticileri hem de bu cihazların satıcıları için bir dizi azaltma stratejisini özetledi. Araştırmacılar, OT ağı yöneticilerinin, cihazın ele geçirilmesini önlemek ve saldırı yüzeyini azaltmak için yönlendiriciyi bulut yönetimi için aktif olarak kullanmıyorlarsa kullanılmayan bulut özelliklerini devre dışı bırakmaları gerektiğini önerdi.
Ayrıca cihazları internete bağlamadan önce bulut platformunda kendi hesapları altında kaydetmeleri gerekir. Araştırmacılar, bunun mülkiyet ve kontrol oluşturduğunu ve yetkisiz erişimi önlediğini söyledi.
Araştırmacılar ayrıca, VPN tünelleri ve güvenlik duvarları gibi yerleşik güvenlik özelliklerinin bir kez tehlikeye atıldığında etkisiz kaldığından, yöneticilerin IIoT cihazlarından yönlendiricilere doğrudan erişimi sınırlayabileceğini söyledi.
Gavrilov raporda, “Ayrı güvenlik duvarı ve VPN katmanları eklemek, sınırlandırmaya yardımcı olabilir ve uzaktan bağlantı için kullanılan IIoT cihazlarının maruz kaldığı riskleri azaltabilir.”
Araştırmacılar, satıcıların kendi paylarına, zayıf tanımlayıcıların kullanımından kaçınarak ve cihaz kaydı ve bağlantı kurulumu sırasında ek bir “gizli” tanımlayıcı kullanarak cihazlarında güvenlik açıkları oluşturmaktan kaçınabileceklerini tavsiye etti. Ayrıca, ağ operatörlerinin varsayılan kimlik bilgilerini kullanmaktan kaçınmaları ve böylece ağa anında güvenlik riskleri getirmeleri için ilk kimlik bilgisi kurulumunu zorunlu kılmalıdırlar. Ayrıca araştırmacılar, IIoT’nin güvenlik gereksinimlerinin benzersiz olduğu ve IoT ayak izinden ayrı olarak düşünülmesi gerektiği, çünkü ikisinin eşdeğer olmadığı konusunda uyardı.
Gavrilov, “Bu, talep üzerine ‘yüksek riskli’ özellikleri azaltmayı ve ekstra kimlik doğrulama, şifreleme, erişim kontrolü ve izleme katmanları eklemeyi içerebilir.”