Güvenlik araştırmacıları, kritik endüstrilerde kullanılan Honeywell cihazlarında, istismar edildiğinde bilgisayar korsanlarının fiziksel kesintiye neden olmasına ve potansiyel olarak insan yaşamının güvenliğini etkilemesine izin verebilecek çok sayıda güvenlik açığı keşfetti.
Varlık güvenliği konusunda uzmanlaşmış bir siber güvenlik şirketi olan Armis’teki araştırmacılar, Honeywell’in Experion dağıtılmış kontrol sistemi (DCS) ürünlerinde dokuz güvenlik açığı ortaya çıkardı. Bunlar, yüksek kullanılabilirliğin ve sürekli operasyonların kritik olduğu enerji ve ilaç gibi kritik sektörlerdeki büyük endüstriyel süreçleri kontrol etmek için kullanılan dijital otomatik endüstriyel kontrol sistemleridir.
Armis’e göre, yedi tanesine kritik önem derecesi verilen güvenlik açıkları, bir saldırganın hem Honeywell sunucusunda hem de denetleyicilerde uzaktan yetkisiz kod çalıştırmasına izin verebilir. Bir saldırganın, dizüstü bilgisayardan satış makinesine kadar bir ağ içindeki bir aygıtı ele geçirerek elde edilebilecek kusurlardan yararlanmak için ağ erişimine ihtiyacı olacaktır. Bununla birlikte, hatalar kimliği doğrulanmamış erişime izin verir; bu, bir saldırganın onu kullanmak için denetleyicide oturum açması gerekmediği anlamına gelir.
Aktif istismara dair bir kanıt bulunmamakla birlikte Armis, TechCrunch’a bilgisayar korsanlarının bu kusurları cihazları ele geçirmek ve DCS denetleyicisinin çalışmasını değiştirmek için kullanabileceğini söylüyor.
“İş açısından düşünebileceğiniz daha kötü durum senaryoları, tam kesintiler ve kullanılabilirlik eksikliğidir. Ancak insan hayatını etkileyebilecek güvenlik sorunları da dahil olmak üzere bundan daha kötü senaryolar var, ”dedi Armis’in CISO’su Curtis Simpson, TechCrunch’a.
Simpson, hataların doğası gereği bir saldırganın bu değişiklikleri DCS denetleyicisini yöneten mühendislik iş istasyonundan gizleyebileceği anlamına geldiğini söyledi. “Tesisten gelen bilgileri kontrol eden tüm ekranlara sahip bir operatörünüz olduğunu hayal edin, bu ortamda her şey yolunda,” diye ekledi. “Tesisin alt kısmına gelince, esasen her şey yanıyor.”
Armis, bunun Honeywell DCS sistemlerinin çalıştığı petrol ve gaz madenciliği endüstrisi için özellikle sorunlu olduğunu söylüyor. Honeywell’in web sitesine göre, Honeywell’in müşterileri arasında enerji devi Shell, Savunma Bakanlığı ve NASA dahil ABD devlet kurumları ve araştırmaya dayalı biyofarmasötik şirketi AstraZeneca yer alıyor.
Simpson, “Kritik altyapıyı bozabilirseniz, bir ülkenin birçok farklı şekilde faaliyet gösterme yeteneğini bozabilirsiniz” dedi. “Bundan kurtulmak da bir kabus olur. Bu tür saldırıların yaygınlığına ve bu ekosistem hakkında siber farkındalık eksikliğine bakarsanız, kuruluşların yeniden inşası saatte milyonlarca dolara mal olabilir.”
Armis, TechCrunch’a Honeywell’i Mayıs ayında Honeywell Experion Process Knowledge System, LX ve PlantCruise platformları ve C300 DCS Controller dahil olmak üzere bir dizi DCS platformunu etkileyen güvenlik açıkları konusunda uyardığını söyledi. Honeywell, yamaları bir sonraki ay kullanıma sundu ve etkilenen tüm kuruluşları derhal bunları uygulamaya çağırıyor.
Yorum için kendilerine ulaşıldığında, Honeywell sözcüsü Caitlin E. Leopold şunları söyledi: “Bu konuda ARMIS ile sorumlu bir ifşa sürecinin parçası olarak çalışıyoruz. Güvenlik açığını gidermek için yamalar yayınladık ve etkilenen müşterileri bilgilendirdik. Şu anda bu güvenlik açığının bilinen bir istismarı yok. Experion C300 sahipleri, süreç kontrol ağlarını izole etmeye ve izlemeye devam etmeli ve mümkün olan en kısa sürede mevcut yamaları uygulamalıdır.”