Microsoft, enerji üretimi tesisleri, fabrika otomasyonu, enerji otomasyonu ve süreç otomasyonu gibi endüstriyel tesislerdeki operasyonel cihazları programlamak için yaygın olarak kullanılan bir araç koleksiyonunda 15 yüksek önem dereceli güvenlik açığını açıkladı.
Şirket, kod yürütme ve hizmet reddi güvenlik açıklarından yararlanmanın zor olmasına rağmen, tehdit aktörlerinin “hedeflere büyük zarar vermesini” sağladığı konusunda uyardı.
Güvenlik açıkları, CODESYS V3 yazılım geliştirme kitini etkiliyor. Schneider Electric ve WAGO gibi şirketlerdeki geliştiriciler, dünya çapındaki endüstriyel tesislerde programlanabilir mantık denetleyicileri, vanaları açıp kapatan, rotorları döndüren ve çeşitli diğer fiziksel cihazları kontrol eden tost makinesi boyutunda cihazlar geliştirmek için platformdan bağımsız araçları kullanıyor.
SDK, geliştiricilerin PLC’leri endüstriyel ortamlarda kullanımı güvenli programlama dillerini tanımlayan uluslararası bir standart olan IEC 611131-3 ile uyumlu hale getirmelerine olanak tanıyor.
Microsoft, güvenlik açıklarını Codesys’e Eylül ayında özel olarak bildirdi ve şirket o zamandan beri güvenlik açıklarını gideren yamalar yayınladı. Şimdiye kadar, SDK’yı kullanan birçok satıcının güncellemeleri yüklemiş olması muhtemel. Ancak, olmayan herkes bunu bir öncelik haline getirmeli.
Microsoft, güvenlik açıklarından yararlanmanın Codesys’in özel protokolü hakkında derin bir bilgi gerektirdiğini söyledi. Ayrıca, saldırganların savunmasız bir cihazda kimlik doğrulaması elde etme biçimindeki uzun bir engeli aşmasını gerektiriyor. Kimlik doğrulamayı gerçekleştirmenin bir yolu, bir PLC’nin henüz yama uygulanmamış olması durumunda CVE-2019-9013 olarak izlenen zaten yamalanmış bir güvenlik açığından yararlanmak.
Güvenlik açıklarından yararlanmak zor olsa da, tehdit aktörleri geçmişte bu tür saldırıları gerçekleştirmeyi başardı. Triton ve Trisis olarak izlenen kötü amaçlı yazılım, en az iki kritik tesiste kullanıldı. Kremlin’e atfedilen kötü amaçlı yazılım, güvenli olmayan koşulları algılayan ve düzelten güvenlik sistemlerini devre dışı bırakmak için tasarlandı.
Bununla birlikte, bu tür saldırılar nadir. 15 güvenlik açığının daha önce güvenlik açığı bulunan üretim ortamlarının çoğunda yamalanma olasılığıyla birleştiğinde, Microsoft’un uyarıda bulunduğu vahim sonuçlar pek olası görünmüyor.
Codesys Cuma günü kendi danışma belgesini yayınladı ve Microsoft, kuruluşların hala kullanımda olabilecek savunmasız cihazları belirlemesine yardımcı olan kodu kullanıma sundu.
