Wago ve Schneider Electric’in operasyonel teknoloji (OT) ürünlerinde üç güvenlik açığı açıklandı.
Forescout’a göre kusurlar, toplu olarak adlandırılan daha geniş bir dizi eksikliğin parçası. OT: Buzulşu anda 13 farklı satıcıyı kapsayan toplam 61 sayıdan oluşuyor.
Şirket, “OT:ICEFALL, OT cihazı satıcılarında güvenli tasarım, yama uygulama ve test etme ile ilgili süreçlerin daha sıkı incelenmesi ve iyileştirilmesi gerektiğini gösteriyor” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Kusurların en şiddetlisi, CVE-2022-46680 (CVSS puanı: 8.8), Schneider Electric’in güç sayaçları tarafından kullanılan ION/TCP protokolündeki kimlik bilgilerinin düz metin iletimiyle ilgilidir.
Hatanın başarılı bir şekilde kullanılması, tehdit aktörlerinin savunmasız cihazların kontrolünü ele geçirmesini sağlayabilir. CVE-2022-46680’in, Forescout tarafından Haziran 2022’de ilk olarak ortaya çıkarılan 56 kusurdan biri olduğunu belirtmek gerekir.
Diğer iki yeni güvenlik açığı (CVE-2023-1619 Ve CVE-2023-1620CVSS puanları: 4.9), oturum kapatıldıktan sonra belirli hatalı biçimlendirilmiş paketler veya belirli istekler göndererek kimliği doğrulanmış bir saldırgan tarafından etkinleştirilebilen WAGO 750 denetleyicilerini etkileyen hizmet reddi (DoS) hataları ile ilgilidir.
OT:ICEFALL araştırmasını sonlandırırken Forescout, satıcıların tasarım gereği güvenlik uygulamalarına ilişkin temel bir anlayıştan hâlâ yoksun olduğunu ve eksik yamalar yayınladıklarını ve uygun güvenlik testi prosedürlerini uygulamada başarısız olduklarını belirtiyor.
Şirket, “Bu endişe verici çünkü OT ürünleri güvenlik kontrollerini uygulamaya başladıkça ve sonunda sertifika aldıkça, güvenlik duruşlarına ilişkin algı değişebilir ve telafi edici kontrollerle ilgili aciliyet duygusu düşebilir ve bu da yanlış bir güvenlik algısına yol açabilir” dedi.