Çeşitli kritik altyapı ortamlarında kullanılan toplu olarak Icefall ve Operasyonel Teknoloji (OT) ekipmanı olarak adlandırılan 56 güvenlik açığı kümesi üzerinde bir güvenlik raporu yayınlanmıştır.
Icefall koleksiyonu, Forescout'un Vedere Labs'taki güvenlik araştırmacıları tarafından keşfedildi ve on satıcının cihazlarını etkiliyor. Güvenlik kusurlarının türü, uzaktan kod yürütülmesine, kimlik bilgilerinden ödün vermeye, ürün yazılımı ve yapılandırma değişikliklerine, kimlik doğrulama baypasına ve mantık manipülasyonuna izin verir.
Etkilenen satıcılar Kont Honeywell, Motorola, Omron, Siemens, Emerson, Jtekt, Bentley Nevada, Phoenix Sözleşmesi, Proconos ve Yokogawa. Phoenix Contact, CERT VDE ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından koordine edilen sorumlu bir açıklamada bilgilendirildi.
Son birkaç yıldır, Icefall'dan etkilenen sistem türü, her ikisi de Ukrayna enerji santrallerine karşı Rus hackerlar tarafından uzun zaman önce konuşlandırılmayan özel kötü amaçlı yazılımlar 2 ve Caddywiper'ın daha sık bir hedefi haline geldi.
Vedere laboratuvarları tarafından keşfedilen kusurlar, yapılandırmayı manipüle ederken ve bir hizmet reddi (DOS) durumunu oluştururken daha düşük bir sayıyı hesaplarken öncelikle kimlik bilgisi güvenlik, ürün yazılımı manipülasyonu ve uzaktan kod yürütme ile ilgilidir.
Raporunda, "birçok güvenlik açığının OTS'nin güvensiz tasarımı nedeniyle", uygulama aşamasında yetersiz güvenlik kontrollerini gösteren "birçok kimlik doğrulama şeması kırıldığını" da eklediğini belirtiyor.
Örnek olarak, araştırmacılar birçok cihazın düz metin kimlik bilgileri, zayıf veya kırık kriptografi, sert kodlanmış anahtarlar ve istemci tarafı kimlik doğrulaması kullandığını belirtiyor.
Bu kimlik doğrulama kusurları, tehdit aktörlerinin uzaktan kod yürütme (RCE) ve DOS durumunu elde etmelerinin veya kötü amaçlı ürün yazılımı görüntülerini yüklemenin yolunu açar. Hedef cihazlarda veya arkasındaki komutlar vererek doğrudan operasyonel manipülasyon, araştırmacıların vurguladığı başka bir risktir.
Icefall, çok sayıda endüstriyel sektörde kullanılan çok çeşitli cihazları etkiler, bu da onları özellikle devlet destekli rakipler için oldukça çekici hale getirir.
Forescout'un Icefall'dan yararlanan tehdit aktörlerinden kaynaklanabileceğini söylediği bazı senaryolar, yanlış alarmlar oluşturma, akış ayar noktalarının değiştirilmesi, SCADA işlemlerini bozma veya acil durum kapatma ve yangın güvenliği sistemlerini devre dışı bırakma yer alıyor.
Bulgularını ve risk potansiyelini göstermek için, araştırmacılar bir rüzgar enerjisi üretimi ve doğal bir gaz taşıma sistemi kullandılar, bu da çeşitli buz çözme kusurlarının nerede bulunduğunu ve daha derin uzlaşma seviyeleri elde etmek için nasıl zincirlenebileceklerini gösterdiler.
Etkilenen cihazlar dünya çapında dağılmıştır. Analistler, maruz kalan savunmasız sistemler için interneti taramak için Shodan'ı kullandılar ve aşağıdaki ilk altıyı buldular:
Özellikle, savunmasız ürün ailelerinin% 74'ü güvenlikleri için sertifikalandırılmıştır, bu da bu prosedürlerin ne kusursuz ne de yeterince kapsamlı olduğunu yansıtır.
Birincil güvenlik önerisi, satıcıdan en son ürün yazılımı güncellemelerini uygulamaktır. Ancak şu anda, belirtilen satıcıların tümü Icefall için düzeltmeler yayınlamadı ve harekete geçmesi gereken aşağı akış satıcıları da var.
Bir düzeltme kullanılabilir hale gelene veya yüklenene kadar, sistem yöneticilerine ağı segmentlere ayırmaları ve trafik ve cihaz etkinliğini izlemeleri şiddetle tavsiye edilir.
Korunmasız ürünleri "güvenli tasarım" cihazlarıyla keşfetmek ve değiştirmek ve fiziksel anahtarlar kurmak, bir uzlaşma değişikliğini azaltmak için iyi yöntemlerdir.
Forescout, derinlemesine kılavuz ve yazılım, ürün yazılımı ve donanım bileşenlerinin otomatik analizi aracılığıyla güvenlik açıkları setini buldu. Şirket, bir satıcıyı etkileyen ve halen açıklama altında olan dört güvenlik açıkını açıklayan daha ayrıntılı bir teknik rapor yayınladı.
Her bir güvenlik açığının etkilenen bir ürün üzerindeki özel etkisi hakkında daha fazla ayrıntı öğrenmek için şirketlerin her satıcıdan güvenlik danışmanlarını takip etmeleri tavsiye edilir.
OAS Platformu Kritik RCE ve API Erişim Kusurlarına karşı savunmasız
Cisco, yaşam sonu VPN yönlendiricilerinde sıfır gün RCE'yi düzeltmeyeceğini söylüyor
730k WordPress siteleri Kritik eklenti hatası yamaya zorlandı
Anker Eufy Smart Home Hub'lar Kritik Kusurla RCE saldırılarına maruz kaldı
Metamask, Phantom Kripto Cüzdanlarınızı çalabilecek kusur uyarısı
Kaynak: Bleeping Computer