Team82, endüstriyel, sağlık ve işletme ortamlarında siber-fiziksel sistemlerin (CPS) güvenliği uzmanının araştırma bölümü klarnetve Rockwell Automation Rockwell programlanabilir mantık denetleyicilerindeki (PLC'ler) ve mühendislik iş istasyonu yazılımındaki iki güvenlik açığını ortaklaşa ifşa ettiler.
CVE-2022-1161, Rockwell'in Logix denetleyicilerinin birden çok sürümünü etkiler ve 10 ile en yüksek CVSS puanı olarak derecelendirilirken, CVE-2020-1159, Studio 5000 Logix Designer uygulamasının birden çok sürümünü etkiler. Güvenlik açıkları, işlem teknisyenlere iş istasyonlarında normal görünürken değiştirilmiş kodun bir PLC'ye indirilmesine izin verebilir. Bu, Stuxnet ve Rogue7 saldırılarını anımsatıyor. Rockwell, kullanıcılara bu tür gizli kodları tespit eden bir araç sağlar. Ek olarak, kullanıcıların manipülasyonları ortaya çıkarabilecek etkilenen ürünleri güncellemeleri şiddetle tavsiye edilir.
Gizli saldırılar mümkün
Programlanabilir mantık denetleyicilerine (PLC'ler) yönelik başarılı gizli saldırılar, en nadir, en çok zaman alan ve pahalı saldırılar arasındadır. Stuxnet yazarları, denetleyiciyi programlayan mühendis iş istasyonunda yalnızca normal durumu görürken, bir PLC'de çalışan kötü amaçlı bayt kodunu gizlemenin bir yolunu bularak buradaki temelleri attı. Bunu yapmak için bayt kodu ve metin kodunun ayrılması gerekir. Örneğin, Siemens SIMATIC S7 PLC'lerine yapılan Rogue7 saldırısında, araştırmacılar kötü niyetli bytecode'u PLC'ye iletirken metin kodunu değiştirmeyi başardılar.
Team82, bu Stuxnet benzeri saldırılar için Rockwell Automation'ın PLC platformunu test etti. Şirketin Logix denetleyicilerini ve mühendislik iş istasyonlarına yönelik Logix Designer uygulamasını bu tür saldırılara karşı savunmasız bırakan iki güvenlik açığı keşfedildi. PLC mantığını göze çarpmadan değiştirebilen saldırganlar, fabrikalarda fiziksel hasara neden olarak montaj hattı güvenliğinden ve robot güvenilirliğinden ödün verebilir.
Stuxnet gibi saldırı başarılı
Tanımlanan iki zayıf nokta, metin kodunu ikili koddan ayırmayı ve PLC'ye aktarmayı mümkün kılar, bu sayede sadece biri değiştirilir, diğeri değiştirilmez. Bu, mühendisin, aslında tamamen farklı, potansiyel olarak kötü niyetli bir kod çalıştırırken, PLC'nin normal kod çalıştırdığına inanmasına neden olur.
Daha fazlası Claroty.com'daClaroty Hakkında Endüstriyel Siber Güvenlik Şirketi Claroty, küresel müşterilerinin OT, IoT ve IIoT varlıklarını keşfetmelerine, korumalarına ve yönetmelerine yardımcı olur. Şirketin kapsamlı platformu, müşterilerin mevcut altyapısı ve süreçleriyle sorunsuz bir şekilde entegre olur ve şeffaflık, tehdit tespiti, risk ve güvenlik açığı yönetimi ve güvenli uzaktan erişim için çok çeşitli endüstriyel siber güvenlik kontrolleri sunar - önemli ölçüde azaltılmış toplam sahip olma maliyetiyle.