Haberler
Saldırganların Kapıları Uzaktan Kontrol Edebilmesine Yol Açan Endüstriyel Kontrol Sistemi Güvenlik Açığı Tespit Edildi
Carrier’ın endüstriyel kontrol sistemlerinde (ICS) toplamda sekiz (sıfır-gün) güvenlik açığı tespit edildi. Bu güvenlik açıklarından yararlanıldığı takdirde saldırganların “kapı kilitlerini uzaktan manipüle etme yeteneği” de dahil olmak üzere tüm sistem kontrolünü ele geçirebildiği kaydedildi.
Güvenlik açığı araştırmacıları, HVAC (Heating, Ventilating and Air Conditioning – Isıtma, Havalandırma ve İklimlendirme) şirketi Carrier tarafından sağlanan yaygın olarak kullanılan endüstriyel kontrol sistemlerinde sekiz adet sıfır-gün* güvenlik açığı keşfetti.
Araştırmacılar, bu güvenlik açıklarının HID Mercury denetleyicilerini kullanan erişim kontrol ürünlerini etkilediğini ve bilgisayar korsanlarının kapıları uzaktan açmasına izin verebileceğini iddia ediyor.
Güvenlik açıklarının detayları
Sekiz sıfır-gün açığı arasından yedisine yüksek önem derecesi veya kritik derecelendirme atandı, ayrıca çoğunun CVSS puanı 7.5. Bildirildiğine göre sıfır-gün, tesislere erişim ve karmaşık bina otomasyonu dağıtımlarıyla entegrasyon sağlayan LenelS2 Mercury erişim kontrol panelini etkiliyor.
LenelS2, Carrier’ın bir yan kuruluşu ve fiziksel güvenlik çözümleri sunuyor. Güvenlik araştırmacıları, belirli donanım denetleyicilerini kullanan tüm OEM ortaklarının bu kusurlardan etkilendiği bilgisini paylaşıyor.
Potansiyel tehlikeler
Carrier’ın LenelS2 Mercury panelleri sağlık, eğitim, ulaşım ve hatta federal devlet kurumları/organizasyonları dahil olmak üzere önemli sektörlerde yüzlerce kuruluş tarafından kullanıldığı için kusurlar yıkıcı olabilir.
Güvenlik araştırmacılarından Sam Quinn’e göre bu sistemler doğrudan internete bağlanmak yerine güvenlik duvarı ile kullanılmalı.
Ayrıca açıkların uzaktan kod yürütme, rastgele dosya yazma gibi alanlarda potansiyel risk unsuru oluşturduğu aktarıldı.
Carrier, saldırıları azaltma yöntemlerine ilişkin yamaları ve ayrıntılı bir tavsiyeyi zaten yayımladı. Ayrıca, ABD CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı), kurumları kusurların neden olduğu potansiyel riskler konusunda uyarmak için bir tavsiye metni yayımladı.
*Zero-day (sıfır gün açıkları): Bir sistem veya yazılımdaki güvenlik açığı yazılım geliştiriciler tarafından değil de siber saldırganlar tarafından ortaya çıkarıldığında sıfır gün açığı meydana gelir.
