Cisco Talos’a göre, endüstriyel Nesnelerin İnterneti veri platformu satıcısı Açık Otomasyon Yazılımındaki (OAS) bir çift kritik kusur endüstriyel kontrol sistemlerini (ICS) tehdit ediyor.
Bunlar, satıcının bu hafta yamaladığı OAS yazılımındaki sekiz güvenlik açığı grubunun parçası.
Kusurlar arasında, saldırganlara, hedeflenen bir makinede, işleyişini bozmak veya değiştirmek için uzaktan kötü amaçlı kod yürütme yeteneği veren bir (CVE-2022-26082); bir diğeri (CVE-2022-26833), sistemlerdeki verileri yapılandırmak ve görüntülemek için bir REST uygulama programlama arabiriminin (API) kimliği doğrulanmamış kullanımını sağlar.
Cisco Talos, danışma belgesinde uzaktan kod yürütme (RCE) güvenlik açığını 10 puanlık bir ölçekte 9,1 önem puanına ve API ile ilgili kusuru 9,4 puana sahip olarak tanımladı.
Kalan kusurlar, OAS Platformu V16.00.0112’nin farklı bileşenlerinde bulunur. Daha az ciddi olarak değerlendirildiler (4,9 ile 7,5 arasında değişen güvenlik açığı-önem dereceleri ile) ve bilgi ifşa sorunlarını, hizmet reddi kusurunu ve saldırganların yetkisiz yapılandırma değişiklikleri ve güvenlik açığı üzerinde başka değişiklikler yapmasına izin veren güvenlik açıklarını içeriyordu. sistemler.
“Cisco Talos, bu sorunların çözülmesini sağlamak için Açık Otomasyon Yazılımı ile çalıştı ve etkilenen müşteriler için tümü Cisco’nun güvenlik açığı açıklama politikasına uygun olarak bir güncelleme mevcut” dedi. danışma
kayıt edilmiş. Şirket, güvenlik açığı bulunan yazılımı kullanan kuruluşların, güvenlik açıklarından yararlanan bir saldırganın güvenliği ihlal edilmiş ağ üzerinde sahip olacağı erişimi en aza indirmek için uygun ağ bölümlemesinin mevcut olduğundan emin olmalarını tavsiye etti.
OAS’ın Açık Otomasyon Yazılım Platformu, öncelikle endüstriyel IoT ortamlarındaki kuruluşların verileri farklı platformlar arasında – örneğin bir Allen Bradley programlanabilir mantık denetleyicisinden (PLC) bir Siemens PLC’ye taşımasına izin vermek için tasarlanmıştır. Platformun merkezinde, şirketin IoT cihazları, PLC’ler, uygulamalar ve veritabanları arasında veri akışını sağlayan Universal Data Connect adını verdiği bir teknoloji yer alıyor. OAS, teknolojisini aynı zamanda ICS ortamlarında verileri günlüğe kaydetmek ve daha sonra açık formatlara yerleştirmek ve farklı kaynaklardan gelen verileri toplamak için yararlı olarak tanımlar. OAS, elektrik ve kamu hizmetleri, kimya, inşaat, ulaşım ve petrol ve gaz dahil olmak üzere birden fazla endüstri dikeyinden müşterilere sahiptir.
Kritik Kusurlar
RCE yürütme güvenlik açığı (CVE-2022-26082) Cisco Talos’un keşfettiği OAS Platformu V16.00.0112’de güvenli bir dosya aktarım işlevi vardır. Saldırgan, rastgele bir dosya yüklemek için OAS Platformuna bir dizi düzgün biçimlendirilmiş yapılandırma mesajı göndererek bu güvenlik açığından yararlanabilir. Cisco, sorunun kritik bir işlev için eksik kimlik doğrulamasıyla ilgili olduğunu söyledi.
Cisco Talos, “Bu güvenlik açığından yararlanma girişimlerini azaltmanın en kolay yolu, OAS Platformunu aktif olarak yapılandırmazken yapılandırma bağlantı noktasına (varsayılan olarak TCP/58727) erişimi engellemektir.” Dedi.
REST API ile ilgili güvenlik açığı (CVE-2022-26833) Cisco’nun keşfettiği ve OAS’a bildirdiği yanlış kimlik doğrulamasından kaynaklanmaktadır. OAS Platformu V16.00.0121’de bulunan kusur, kimliği doğrulanmamış saldırganlara platformda kötü niyetli değişiklikler yapmak için REST API’yi kullanmanın bir yolunu sunar. Saldırganlar, yazılıma bir dizi özel hazırlanmış HTTP isteği göndererek kusuru tetikleyebilir.
Bu kusurdan kaynaklanan riski azaltmak için Cisco, kuruluşların yalnızca gerekli izinlere sahip özel güvenlik grupları ve kullanıcı hesapları oluşturmasını ve ardından bu hesaplara erişimi kısıtlamasını önerdi.
Araştırmacılar, son yıllarda ICS ve operasyonel teknoloji (OT) ortamlarında giderek artan sayıda güvenlik açığı keşfediyor. Endüstriyel siber güvenlik sağlayıcısı Claroty’nin bu yılın başlarında yayınladığı bir araştırma, bu ortamları etkileyen güvenlik açıklarının 2020’de 942’ye kıyasla 2021’de %52 artarak 1.439’a yükseldiğini gösterdi. Kusurların yaklaşık %63’ü uzaktan kullanılabilirdi.
Geçen yıl rapor edilen güvenlik açıklarının sayısı, 2018’de ICS teknolojilerinde rapor edilen 683 kusurdan yaklaşık %110 daha fazlaydı. Güvenlik açıkları ilk kez, geçen yıl kusurlardan etkilenen 82 ICS satıcısının 21’inin ürünlerinde rapor edildi.
