Stuxnet saldırısına karşı savunmasız olan programlanabilir mantık denetleyicileri (PLC’ler) dünya genelinde hâlâ kullanılıyor ve nadiren güvenlik kontrolleri kullanılıyor; bu da bunların hâlâ risk altında olduğu anlamına geliyor.
Stuxnet’in üzerinden 10 yılı aşkın bir süre geçtikten sonra, yeni araştırmalar kullanıcıların şifre kullanma gibi güvenlik kontrollerini nadiren açtığını ve güncellemelerin uygulanmasının çok zahmetli olduğunu düşündüklerini gösteriyor.
Enlyze’de tersine mühendislik ve bağlantı teknoloji lideri Colin Finck, S7 PLC’nin programlanmasının yanı sıra verileri okumak ve yazmak için kullanılan Siemens’in tescilli protokolünü söylüyor. Ancak bu yalnızca araştırmacıların bypass edebildiği gizleme yoluyla korunuyor.
Finck ve yazılım mühendisi, tersine mühendislik ve bağlantıdan sorumlu meslektaşı Tom Dohrmann, bulgularını gelecek hafta Londra’daki Black Hat Europe’da “Stuxnet’ten On Yıl Sonra: Siemens S7 Nasıl Hala Saldırganların Cenneti?“
Hala Stuxnet Etkilerini Hissediyorum
2010 saldırısında, Stuxnet saldırganları istismar edildi Sonuçta Siemens yazılımına ve PLC’lere erişim sağlamak için Microsoft Windows’taki birkaç sıfır gün güvenlik açığı. Bu, İran Buşehr nükleer santralindeki yüksek hızlı santrifüjlere erişim sağlamak ve bunlara etkili bir şekilde zarar vermek için yapıldı.
Stuxnet’in etkisi çok büyüktü, çünkü uzaktan bine yakın santrifüj hasar gördüve solucanın kontrolörleri de analiz edebildi iletişim protokolleri Daha fazla teknolojik zayıflıktan yararlanmak için PLC’ler arasında. Aynı zamanda gelecek olayların da önünü açtı: Stuxnet’ten sonra yıllar içinde endüstriyel kontrolle ilgili bir dizi saldırı tespit edildi. SiyahEnerji Ve Sömürge Boru Hattı.
Finck, Dark Reading’e Stuxnet saldırıları gerçekleştikten sonra Siemens’in PLC’ler için “çok sayıda gizleme ve şifreleme katmanı” ekleyen revize edilmiş bir protokol geliştirdiğini söyledi. Bununla birlikte, son araştırmalarda araştırmacılar, onlara PLC’ler için talimatlar okuma ve yazma yeteneği vererek bu karışıklığı atlamayı başardılar ve sonuçta kontrolörün bir kavram kanıtında çalışmasını durdurmayı başardılar.
Siemens’in Dark Reading’e gönderdiği bir bildiride, gizleme seviyelerinin yeterli güvenlik sağlamadığı kabul edildi. Güvenlik Bülteni Ekim 2022’den itibaren PLC’lerden ikisinin “artık yeterince korunduğu kabul edilemeyecek yerleşik bir küresel özel anahtar kullandığını” belirtti.
Açıklamada şunlar eklendi: “Siemens, iletişim protokolünün bu önceki sürümünü kullanımdan kaldırdı ve herkesi yeni TLS’yi etkinleştirmek için V17 veya sonraki bir sürüme geçmeye teşvik ediyor [Transport Layer Security]tabanlı iletişim protokolü.”
Geliştirilmiş Firmware
2022’de piyasaya sürülen en son Siemens donanım yazılımı TLS’yi içeriyor ancak Finck “siber güvenlik sorunları için uzun vadeli bir hizmet” olmadığını iddia ediyor ve Siemens’i donanım yazılımını güncellemek için daha iyi araçlar sağlamaya çağırıyor “çünkü şu anda bu hizmet, bunu yapabilecek herkese tamamen açık” sadece internet üzerinden erişin.”
Siemens yaptığı açıklamada, Black Hat Avrupa için planlanan konuşmadan haberdar olduğunu belirterek, konuşmanın “TIA Portal/HMI’lar ve SIMATIC S7-1500 SW arasında kullanılan eski PG/PC ve HMI iletişim protokolünün ayrıntılarını açıklayacağını” belirtti. V17’den önceki sürümlerdeki denetleyici.”
Şirket, bu konuşmada daha önce bilinmeyen hiçbir güvenlik açığının açıklanmayacağını ve Siemens’in araştırmacılarla yakın koordinasyon içinde olduğunu belirtti. Siemens, kullanıcılara aşağıdakiler dahil hafifletici önlemleri uygulamalarını önerdi:
-
Güçlü ve bireysel kullanarak istemci kimlik doğrulamasını uygulama erişim seviyesi şifreleri.
-
Yeni TLS tabanlı sürümü etkinleştirmek için V17 veya sonraki bir sürüme geçiş tüm SIMATIC S7-1200/1500 PLC’ler için iletişim protokolü Yazılım Denetleyicisi dahil (bkz. Siemens Güvenlik Bülteni SSB-898115 [2]).
-
Tesis operasyonlarında derinlemesine savunma yaklaşımının uygulanması ve ortamı buna göre yapılandırın Siemens operasyonel kuralları Endüstriyel güvenlik için.
Araştırmacılar Siemens’in tepkisini övse de, PLC aygıt yazılımının kullanıcılar tarafından nadiren güncellendiğini ve hızlı bir şekilde kullanıma sunulmasını sağlayacak yerleşik bir güncelleme sürecinin bulunmadığını belirttiler. [updates] bir makine filosuna.”
Finck, güncelleme yapmanın “muhtemelen her makineye gitmek, bir şeyler takmak ve donanım yazılımını güncellemek gibi sıkıcı bir manuel süreç” olduğunu ve bu nedenle Siemens’in daha iyi güncelleme süreçleri sunması gerektiğini, böylece müşterilerin bu güncellemeleri dağıtmaya teşvik edilmesi gerektiğini söylüyor.
Bu arada, “yukarıda belirtilen güvenlik sorunları nedeniyle şu anda tüm PLC’lerle doğrudan bağlantınız olmasa iyi olur” diyor.