ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu hafta, çok sayıda kritik altyapı sektöründeki kuruluşlar tarafından kullanılan ve bazıları yamalanmamış olan sekiz endüstriyel kontrol sisteminde (ICS) toplam 49 güvenlik açığı için tavsiyeler yayınladı.
Kritik altyapı sektörlerindeki kuruluşların siber güvenliği dikkate alma ihtiyacı artıyor. ICS ve operasyonel teknoloji (OT) ortamları artık bir zamanlar olduğu gibi hava boşluklu, bölümlere ayrılmış değil ve İnternet üzerinden giderek daha fazla erişilebilir durumda. Sonuç olarak, hem ICS hem de OT ağları, hem ulus-devlet aktörleri hem de finansal olarak motive olmuş tehdit grupları için giderek daha popüler hedefler haline geldi.
CISA’nın danışma belgesindeki güvenlik açıklarının birçoğunun uzaktan kullanılabilir olması, düşük saldırı karmaşıklığı içermesi ve saldırganların etkilenen sistemlerin denetimini ele geçirmesine, ayarları manipüle etmesine ve değiştirmesine, ayrıcalıkları artırmasına, güvenlik denetimlerini atlamasına, verileri çalmasına ve sistemleri çökertmesine izin verdiği düşünülürse, bu talihsiz bir durumdur. Önem düzeyi yüksek güvenlik açıkları Siemens, Rockwell Automation, Hitachi, Delta Electronics, Keysight ve VISAM ürünlerinde mevcuttur.
bu CISA danışmanlığı Avrupa Birliği’nin havacılık, deniz, demiryolu ve karayolu taşımacılığı kurumları tarafından kullanılan OT sistemlerine potansiyel fidye yazılımı saldırıları konusunda uyarıda bulunan, ulaşım sektörüne yönelik tehditler hakkında bir raporuyla aynı zamana denk geldi. CISA’nın tavsiye belgesindeki savunmasız sistemlerin en azından bir kısmı, ulaşım sektöründeki kuruluşlarla da ilgilidir.
Düşük Karmaşıklık, Yüksek Etkili Güvenlik Açıkları
CISA’nın danışma belgesindeki 49 güvenlik açığından yedisi Siemens’in RUGGEDCOM APE1808’i teknoloji ve şu anda bir düzeltme yok. Güvenlik açıkları, bir saldırganın güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltmesine veya sistemi çökertmesine olanak tanır. Dünya çapında çok sayıda kritik altyapı sektöründeki kuruluşlar, ürünü ticari uygulamaları barındırmak için kullanıyor.
Entegre edilmiş çeşitli üçüncü taraf bileşenlerinde on yedi başka kusur mevcuttur. Siemens’in Scalance W-700 cihazları. Kimya, enerji, gıda, tarım ve imalat sektörleri dahil olmak üzere çok sayıda kritik altyapı sektöründeki kuruluşlar ürünü kullanıyor. Siemens, ürünü kullanan kuruluşları yazılımlarını v2.0 veya sonraki bir sürüme güncellemeye ve cihazlara ağ erişimini korumak için kontroller uygulamaya çağırdı.
Yeni açıklanan güvenlik açıklarından on üçü Delta Electronic’ InfraSuite Device Master, enerji sektöründeki kuruluşların kritik sistemlerin sağlığını izlemek için kullandığı bir teknoloji. Saldırganlar, hizmet reddi koşullarını tetiklemek veya gelecekteki bir saldırıda kullanılabilecek hassas verileri çalmak için güvenlik açıklarından yararlanabilir.
CISA’nın danışma belgesinde yer alan ve ürünlerinde çok sayıda güvenlik açığı bulunan diğer satıcılar, Visam’dır. Vbase Otomasyon teknolojisi yedi kusurdan sorumluydu ve Rockwell Otomatı kritik imalat sektöründe kullanılan ThinManager ürününde üç kusurla. Keysight’ın bir güvenlik açığı vardı. Keysight N6845A Coğrafi Konum Sunucusu iletişim ve devlet kurumları için ve Hitachi, daha önce bilinen bir güvenlik açığı hakkında bilgileri güncelledi. Enerji GMS600, PWC600 ve Relion ürünler.
Bu, CISA’nın kritik altyapı sektörlerindeki kuruluşları endüstriyel ve operasyonel teknoloji ortamlarında kullandıkları sistemlerdeki ciddi güvenlik açıkları konusunda son haftalarda ikinci kez uyarmasıdır. Ocak ayında, ajans benzer bir uyarı yayınladı. 12 ICS satıcısının ürünlerindeki güvenlik açıklarıSiemens, Hitachi, Johnson Controls, Panasonic ve Sewio dahil. Mevcut kusur setinde olduğu gibi, önceki danışma belgesindeki güvenlik açıklarının çoğu, tehdit aktörlerinin sistemleri ele geçirmesine, ayrıcalıkları yükseltmesine ve ICS ve OT ayarlarında başka tahribata yol açmasına da izin verdi.
Hedef Noktasında OT Sistemleri
Bu arada, bu hafta Avrupa Birliği Siber Güvenlik Ajansı’ndan (ENISA) bir rapor ulaşım sektörüne yönelik siber tehditler Ocak 2021 ile Ekim 2022 arasında AB taşımacılık sektöründe kamuya açıklanmış 98 olayın analizine dayanarak OT sistemlerine yönelik olası fidye yazılımı saldırılarına karşı uyarıda bulundu.
Analiz, finansal amaçlarla hareket eden siber suçluların saldırıların yaklaşık %47’sinden sorumlu olduğunu gösterdi. Bu saldırıların çoğu (%38) fidye yazılımıyla ilgiliydi. Diğer yaygın motivasyonlar arasında operasyonel kesintiler, casusluk ve hacktivist grupların ideolojik saldırıları yer alıyor.
OT sistemleri bazen bu saldırılarda ikincil olarak hasar görmüş olsa da, ENISA araştırmacıları analiz ettiği 98 olayda bunlara yönelik herhangi bir saldırı kanıtı bulamadı. ENISA raporunda, “Yalnızca OT sistemleri ve ağların etkilendiği durumlar, ya tüm ağların etkilendiği ya da güvenlik açısından kritik BT sistemlerinin kullanılamadığı zamanlardı.” Ancak ajans bunun değişmesini bekliyor. “Fidye yazılımı grupları, öngörülebilir bir gelecekte büyük olasılıkla OT operasyonlarını hedef alacak ve kesintiye uğratacak.”
Avrupa siber güvenlik ajansının raporu bir noktaya işaret etti önceki ENISA analizi ICS ve OT sistemlerini ve ağlarını hedefleyen fidye yazılımı aktörleri ve Kostovite, Petrovite ve Erythrite olarak izlenen diğer yeni tehdit grupları konusunda uyarıda bulundu. Rapor ayrıca saldırganların ICS ortamlarına artan ilgisinin işaretleri olarak Industroyer, BlackEnergy, CrashOverride ve InController gibi ICS’ye özgü kötü amaçlı yazılımların devam eden gelişiminin altını çizdi.
ENISA raporunda, “Genel olarak, düşmanlar, gelecekteki amaçlar için OT ağları hakkında bilgi toplamak için hedeflerinden ödün vermek için zaman ve kaynak ayırmaya isteklidir.” “Şu anda, bu alandaki çoğu düşman, stratejik hedefler olarak ön konumlandırmaya ve bilgi toplamaya kesintiye göre öncelik veriyor.”