ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu hafta siber suçlara maruz kalma olasılığı yüksek olan sağlık ve kritik üretim sektörlerinde yaygın olarak kullanılan ürünlerdeki iki yeni endüstriyel kontrol sistemi (ICS) güvenlik açığı konusunda uyarıda bulundu.
Güvenlik açıkları Baxter’ın Connex Health Portal’ını ve Mitsubishi Electric’in MELSEC programlanabilir kontrolör serisini etkiliyor. Her iki satıcı da güvenlik açıkları için güncellemeler yayınladı ve ilgili teknolojilerin müşterilerinin riski daha da azaltmak için alabileceği önlemleri önerdi.
Baxter Connex Güvenlik Açıkları
CISA’nın tavsiyesi, iki güvenlik açığı hakkında bilgi içeriyordu: Baxter’ın Connex Sağlık Portalı (eskiden Hillrom ve Welch Allyn) uzaktan istismar edilebilir ve düşük saldırı karmaşıklığı içerdiğini açıkladı. CVE-2024-6795 olarak atanan güvenlik açıklarından biri, kimliği doğrulanmamış bir saldırganın etkilenen sistemlerde keyfi SQL sorguları çalıştırmak için kullanabileceği maksimum önem derecesine (CVSS puanı 10.0) sahip bir SQL enjeksiyon sorunudur. CISA, bu açığı saldırganlara hassas verilere erişme, bunları değiştirme ve silme ve veritabanını kapatma dahil olmak üzere diğer yönetici düzeyinde eylemler gerçekleştirme yeteneği olarak tanımladı.
Baxter’ın Connex Health Portal’ındaki diğer güvenlik açığı, CVE-2024-6796 olarak izleniyor, uygunsuz erişim denetimiyle ilgili ve 10 üzerinden 8,2 CVSS önem derecesine sahip. Bu güvenlik açığı, saldırganlara hassas hasta ve klinisyen bilgilerine erişme ve verilerin bir kısmını değiştirme veya silme olanağı sağlıyor. CVE-2024-6795’te olduğu gibi, Baxter Connex Health Portal’daki uygunsuz erişim güvenlik açığı da uzaktan istismar edilebilir, düşük saldırı karmaşıklığı içerir ve tehdit aktörünün herhangi bir özel ayrıcalığa sahip olmasını gerektirmez.
Baxter sorunları düzeltti, ancak CISA etkilenen kuruluşların tüm kontrol sistemi cihazları için ağ maruziyetini en aza indirmelerini ve bunlara İnternet üzerinden erişilemediğinden emin olmalarını önerdi. CISA ayrıca kuruluşların kontrol sistemi ağlarının önüne güvenlik duvarları koymalarını ve uzaktan erişimin gerekli olduğu durumlarda VPN gibi güvenli uzaktan erişim yöntemleri kullanmalarını istiyor.
CISA, şimdiye kadar her iki güvenlik açığını hedef alan bir istismar faaliyeti belirtisi olmadığını söyledi. Ancak sağlık teknolojileri son yıllarda siber suçlular için önemli bir hedef haline geldi. Sadece bu yıl, önemli sağlık oyuncularını içeren birden fazla olay yaşandı. Bunlardan en dikkat çekeni sağlık sigortası şirketine yapılan fidye yazılımı saldırısıydı Change Healthcare bu yılın başlarında kritik taleplerle ilgili hizmetleri günlerce çevrimdışı bıraktı. Change Healthcare 22 milyon dolar fidye ödedi Saldırının ardından BlackCat fidye yazılımı grubuna, tehdit aktörü yine de milyonlarca Amerikalının hassas sağlık bilgilerini Dark Web’de sızdırdı. Başka bir olayda, saldırganlar — Rhysida fidye yazılımı grubu olduğuna inanılıyor — Chicago’daki Lurie Çocuk Hastanesi’nde sistemleri devre dışı bıraktı ve 790.000’den fazla hastaya ait kayıtların tehlikeye atıldığı belirtildi.
Birden fazla faktör bu duruma katkıda bulunmuştur sağlık sektörü önemli bir hedef haline geliyor siber suçlular için. Bunlar arasında sağlık kuruluşlarının genellikle çok sayıda değerli veriye sahip olması ve hastalara hizmet etme yeteneklerindeki her türlü operasyonel kesintiye ve bozulmaya karşı özellikle savunmasız olmaları yer alır.
Mitsubishi MELSEC Kusurları
Bu arada CISA’nın Mitsubishi Electric’in endüstriyel otomasyon ve kontrol uygulamaları için MELSEC programlanabilir kontrolörleri hakkındaki tavsiyesi, satıcının daha önce duyurduğu güvenlik açıklarıyla ilgilidir. Tavsiyelerden biri, #hizmet reddi zaafiyeti Mitsubishi’nin ilk olarak 2020 yılında açıkladığıCVE-2020-5652) ve kusurla ilgili yeni sorunlar ortaya çıkmaya devam ettikçe yıllar boyunca güncellenmeye devam etti. En son tavsiye, etkilenen teknolojiler listesine daha fazla Mitsubishi MELSEC ürünü ekliyor ve tehdide karşı hafifletme konusunda yeni bilgiler sağlıyor. Diğer güvenlik açığı, CVE-2022-33324aynı zamanda bir hizmet reddi sorunudur, ancak CISA’nın tanımladığı bir şeyden kaynaklanmaktadır uygunsuz kaynak kapatma veya yayın. Mitsubishi, kusuru ilk olarak Aralık 2022’de açıkladı ve tavsiyesini yeni bilgilerle güncellemeye devam etti. Etkilenen teknolojilerin listesine yeni ürünler ekleyen ve yeni azaltma tavsiyeleri sağlayan son güncelleme, şirketin bu yıl CVE-2022-33324 için yaptığı üçüncü güncellemedir.
Üretim sektöründeki ICS ve diğer Bilişim Teknolojileri ürünlerindeki güvenlik açıkları iki nedenden dolayı özellikle endişe vericidir: Üretimin %75’inden fazlası şirketlerin ortamlarında yamalanmamış yüksek önem derecesine sahip güvenlik açıkları vardır; ve üretim şirketlerine yönelik saldırılar son yıllarda artış göstermiştir. Armis’in bu yılın başlarında yayınladığı bir rapor, Saldırılarda %165 artış 2023 yılında imalat sektöründeki şirketlere yönelik hedef ise kamu hizmetlerinden sonra ikinci sırada yer alıyor.