ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rockwell Automation ControlLogix EtherNet/IP (ENIP) iletişim modülü modellerini etkileyen ve uzaktan kod yürütme ve hizmet reddi (DoS) elde etmek için istismar edilebilecek iki güvenlik açığı konusunda uyarıda bulundu.
“Bu güvenlik açıklarından yararlanmanın sonuçları ve etkisi, ControlLogix sistem yapılandırmasına bağlı olarak değişir, ancak bunlar, kontrolün reddedilmesine veya kaybedilmesine, görüşün reddedilmesine veya kaybına, operasyonel verilerin çalınmasına veya sistem üzerinde yıkıcı veya yıkıcı sonuçlar doğuracak şekilde kontrolün manipüle edilmesine yol açabilir. ControlLogix sisteminin sorumlu olduğu endüstriyel proses,” Draogos söz konusu.
Kusurların listesi aşağıdaki gibidir –
- CVE-2023-3595 (CVSS puanı: 9,8) – 1756 EN2* ve 1756 EN3* ürünlerini etkileyen, kötü amaçlarla oluşturulmuş ortak endüstriyel protokol (CIP) mesajları aracılığıyla hedef sistemde kalıcılıkla rastgele kod yürütülmesine neden olabilecek bir sınır dışı yazma kusuru.
- CVE-2023-3596 (CVSS puanı: 7,5) – 1756 EN4* ürünlerini etkileyen ve kötü amaçlarla oluşturulmuş CIP mesajları yoluyla bir DoS durumuna yol açabilecek bir sınır dışı yazma kusuru.
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli aktörlerin modülün çalışan belleğine uzaktan erişim kazanmasına ve kötü niyetli faaliyetler gerçekleştirmesine izin verebilir.” söz konusu.
Daha da kötüsü, kusurlar, potansiyel olarak sistemin herhangi bir parçasının üzerine yazarak radarın altında uçmak ve kalıcı kalmak için kötüye kullanılabilir, modülü güvenilmez kılmaktan bahsetmiyorum bile.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Etkilenen cihazlar şunlardır: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 1 756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK ve 1756-EN4TRXT. Yamalar, sorunları çözmek için Rockwell Automation tarafından kullanıma sunulmuştur.
“CVE-2023-3595 tarafından sağlanan erişim türü, CVE-2023-3595 tarafından sağlanan sıfır-gün erişimine benzer. XENOTIME içinde TRISIS saldırısı,” dedi. Ancak etkileri aynıdır.”
TRITON olarak da bilinen TRISIS, daha önce piyasaya sürülen bir endüstriyel kontrol sistemleri (ICS) kötü amaçlı yazılımıdır. gözlenen petrol ve gaz tesislerinde kullanılan Schneider Electric’in Triconex güvenlik enstrümanlı sistemi (SIS) kontrolörlerini hedefliyor. Dragos ve Mandiant’a göre, Suudi Arabistan’daki bir petrokimya tesisi 2017’nin sonlarında kurban olarak keşfedildi.
Dragos, tanımlanmış bir ulus-devlet grubuyla ilişkili “bu güvenlik açıklarından yararlanan yayınlanmamış bir yararlanma yeteneği” keşfettiğini ve 2023 Temmuz ayı ortası itibarıyla “vahşi ortamda ve hedeflenen kurban kuruluşlar ve sektör dikeylerinde sömürü olduğuna dair hiçbir kanıt bulunmadığı” konusunda uyardı. bilinmiyordu.”
Tenable araştırmacısı Satnam Narang, “Savunmasız modülün kendisinin tehlikeye atılmasına ek olarak, güvenlik açığı ayrıca bir saldırganın endüstriyel süreci ve altta yatan kritik altyapıyı etkilemesine izin verebilir, bu da olası kesinti veya yıkıma neden olabilir.” söz konusu CVE-2023-3595.
