Kaspersky ICS CERT araştırmacıları; programlanabilir mantık denetleyicileri (PLC) ve insan makina arayüzü (HMI) gibi endüstriyel cihazlar geliştirmek için kullanılan popüler bir sistemde çok sayıda açık keşfetti.
Bu cihazlar, kritik altyapıdan üretim süreçlerine kadar tüm otomatik endüstriyel tesislerin kalbinde yer almakta. Keşfedilen bu açıklar, saldırganlara bu sistem ile geliştirilen PLC’lerin kullanıldığı kurumlara uzaktan ve içeriden gizli saldırılar düzenleme fırsatı veriyordu. CODESYS® tarafından geliştirilen sistemdeki açıklar, Kaspersky’nin hazırlamış olduğu rapor sonrasında kapatıldı.
PLC’ler önceden manuel olarak veya karmaşık elektromekanik cihazlar kullanılarak yapılan işleri otomatik hale getiriyor. PLC’lerin düzgün çalışabilmesi için programlanmaları gerekiyor. Bu programlama, mühendislere kodlama ve otomasyon program komutlarını PLC’ye yüklemede yardımcı olan özel bir yazılım sistemi ile yapılıyor. Bu sistem bunun yanında PLC program kodu için bir çalışma zamanı yürütme ortamı sunuyor. Bu yazılım; üretim, enerji üretimi, akıllı şehir altyapıları ve daha pekçok farklı alanda kullanılıyor. Kaspersky araştırmacıları bu tür yazılımlara da dışarıdan müdahale edilebileceğini keşfetti.
Araştırmacılar, PLC programlarını geliştirmek ve denetlemek için tasarlanan kuvvetli ve gelişmiş bir aracı inceledi. Sonuçta, sistemin ana ağ sözleşmesi ve çalışma zamanında bir düzineden fazla güvenlik sorunu tespit edildi. Bunların dördü özellikle ciddi olarak tanımlandı ve CVE-2018-10612, CVE-2018-20026, CVE-2019-9013 ve CVE-2018-20025 biçiminde ayrı isimlendirildi.
Bu açıklar saldırganlara ağdaki varlıklarını gizleyerek; ağ komutları ve ölçüm verileri akışlarına müdahale etme, parola ve diğer kimlik doğrulama bilgilerini çalıp yeniden kullanma, çalışma vaktine zararlı kod yerleştirerek sistemdeki yetkilerini artırma ve yetkisiz daha pekçok şey yapma imkanı tanıyordu. Pratikte bu durum, saldırganın operasyon teknolojileri personelinin farkında olmadan belirli bir tesisteki PLC’lerin işlevini bozabileceği ya da kontrolünü tamamen ele alabileceği manasına geliyor. Bu da saldırganlara, çalışmaları aksatma ya da fikri mülkiyetler, fabrika üretim kapasiteleri ya da üretimdeki yeni ürünler gibi hassas verileri çalma fırsatı sunuyordu. Bunlara ek olarak tesisteki çalışmaların izlenmesi ve saldırıya uğrayan kurum için hassas olabilecek diğer bilgilerin toplanması da mümkün oluyordu.
Kaspersky, yazılımda keşfettiği bu problemleri ilgili markaya anında iletti. Raporlanan açıkların tamamı kapatıldı ve yamalar sistem kullanıcılarına sunuldu.
Kaspersky ICS CERT Güvenlik Araştırmacısı Alexander Nochvay, “Keşfettiğimiz açıklar potansiyel zararlı faaliyetler için oldukça geniş bir alan sunuyordu. Bahsi geçen yazılımın ne kadar yaygın kullanıldığı düşünüldüğünde, duruma hızlı müdahale eden ve problemleri çözen geliştiriciye teşekkür ediyoruz. Bu araştırma ile saldırganların işini daha da zorlaştırdığımıza inanıyoruz. Ancak güvenlik topluluğu, ağ iletişim protokolünün geliştirilme sürecine daha önceden dahil olabilseydi bu açıklar daha önceden tespit edilebilirdi. Endüstriyel sistemler için donanım ve yazılım bileşenleri geliştirenlerin güvenlik topluluğuyla beraber çalışmayı bir alışkanlık haline getirmesi gerektiğine inanıyoruz. Bu durum, özellikle de modern otomasyon teknolojilerini temel alan Endüstri 4.0’a geçiş yapmış olduğumuz bu dönemde büyük önem taşıyor.” dedi.
CODESYS Ürün Pazarlama Müdürü Roland Wagner, “CODESYS Group için ürün güvenliği çok önemlidir. Kaspersky’nin ayrıntılı araştırma sonuçları, CODESYS’i daha da güvenli hale getirmemize yardımcı oldu. CODESYS’in güvenlik özelliklerini geliştirmek için teknik ve idari çalışmalara uzun senelerdir önemli yatırımlar yapıyoruz. Tespit edilen tüm açıklar anında incelendi, değerlendirildi, ilk öncelik haline getirildi ve güvenlik raporunda yayınlandı. Açıkları kapatan yazılım güncellemeleri hızla geliştirildi ve CODESYS Store üstünden tüm CODESYS kullanıcılarına sunuldu.”
Kaspersky uzmanları, raporlanan açıklardan yararlanılmasıyla meydana gelebilecek potansiyel risklerin ortadan kalkması için şu tedbirlerin alınmasını öneri ediyor:
- Sistemi kullanan geliştiriciler güncel sürümü istemeli ve bu sistemin yardımı ile oluşturulan araçların aygıt yazılımlarını da güncellemeli.
- Bu sistemin yardımı ile oluşturulan cihazlar varsa ve cihazı geliştirenler ürünleri için ilgili bir güncelleme yayınladıysa, endüstri mühendisleri kurumlarının yama yönetimi prosedürlerine uygun bir şekilde cihazların yazılımlarını güncellemeli.
- Geliştirme ortamları ve/ya da SCADA’lardaki cihazlara gerekli koruma önlemleri alınmalı.
- Endüstriyel ortamlarda kullanılan cihazlar, izole edilmiş ve kısıtlı bir ağda çalışmalı.
- Yazılım güncellemeleri yapılana kadar, endüstriyel ağları korumakla görevli güvenlik ekipleri; hedefli saldırı tespit çözümleri, endüstriyel ağ izleme, BT ve OT ekiplerine güvenlik eğitimleri ve karşmaşık tehditlere karşı koruma sağlamakta olan diğer önlemleri almalı.
Araştırma hakkında daha fazla bilgi için raporun tamamını Kaspersky ICS CERT internet sitesinde bulabilirsiniz.
