Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bu hafta yayınlanan bir güvenlik tavsiyesi, yöneticileri iki endüstriyel kontrol sistemi cihazındaki (Unitronics Vision Serisi PLC’ler ve Mitsubishi Electric MELSEC iQ-R Serisi) güvenlik açıklarına karşı uyarıyor.
CISA, Unitronics Vision Serisi PLC kontrol cihazının, şifreleri kurtarılabilir bir formatta saklaması nedeniyle uzaktan istismara açık olduğu konusunda uyardı. Bu güvenlik açığına (CVE-2024-1480) CVSS puanı 8,7 olarak atandı.
CISA’ya göre Unitronics, sorunu hafifletmek için kuruma yanıt vermedi veya kurumla birlikte çalışmadı ve bu cihazların bulunduğu ağları siber saldırılara açık bıraktı. Öneri, denetleyicilerin İnternet’e bağlı olmadığından emin olunmasını, iş ağlarından yalıtılmasını, cihazların güvenlik duvarlarının arkasında korunmasını ve uzaktan erişim için sanal özel ağlar (VPN’ler) gibi güvenli yöntemlerin kullanılmasını önerir.
Kalan ICS güvenlik açıkları Mitsubishi Electric Corporation MELSEC iQ-R CPU Modülünü etkileyebilir. CVE-2021-20599 kapsamında takip edilen CPU’daki bir tasarım hatasına 9,1 CVSS puanı verildi. Ünite, saldırganlar tarafından kolayca ele geçirilebilecek şifreleri açık metin olarak iletir.
Mitsubishi MELSEC CPU’ları ayrıca bir tehdit aktörünün kullanıcı adlarını tehlikeye atmasına, cihaza erişmesine ve meşru kullanıcıların erişimini engellemesine olanak verebilecek bildirilen üç kusuru da barındırıyor. Bunlar şunları içerir: hassas bilgilerin açığa çıkması (CVE-2021-20594, CVSS 5.9); yeterince korunmayan kimlik bilgileri (CVE-2021-20597, CVSS 7.4); ve kısıtlayıcı bir hesap kilitleme mekanizması (CVE-2021-20598, CVSS 3.7).
Mitsubishi sorunlar için azaltımlar ve geçici çözümler sağlamak için çalışıyor. Ancak CISA’ya göre bu cihazlara sahip sistemler bir düzeltme ile güncellenemiyor. Kurum, ağlarında bu cihazlar bulunan yöneticilere, güvenlik duvarları, uzaktan erişim sınırlamaları ve IP adresi kısıtlamalarıyla savunmayı güçlendirmelerini tavsiye ediyor.
Danışman, “Mitsubishi Electric sabit sürümü yayınladı… ancak ürünü sabit sürüme güncellemek mümkün değil” dedi. “CISA, kullanıcıların bu güvenlik açığından yararlanma riskini en aza indirmek için savunma önlemleri almasını öneriyor.”