Biznet BilişimBiznet Bilişim

By Can Demirel

EnviDAS Ultimate  Yetkisiz Erişim Güvenlik Açığı

EnviDAS Ultimate  Yetkisiz Erişim Güvenlik Açığı

CVE: CVE-2017-9625

CVSS: 8.2 (CVSS: 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

Risk Seviyesi: Kritik

Ürün: EnviDAS Ultimate

Etkilenen Sürümler: 1.0.0.5 Öncesi tüm sürümler

Yama Tarihi: 12 Ekim 2017

Raporlayan: Can Demirel, Deniz Çevik

Problem Detayları: Envidas Ultimate kritik altyapılarda emisyon, hava ve su kalitesini izlemek amacıyla kullanılmaktadır. Kötü niyetli saldırganların,  yetkilendirme mekanizmalarındaki hatalardan faydalanarak web tabanlı izleme ve güncelleme yönetim arabirimlerine erişmesi mümkündür. Bu açıklık kullanılarak kritik altyapılardaki hassas verilerin izlenmesi ve değiştirilmesi olasıdır.

Çözüm/Öneri: Belirtilen problem üretici tarafından geliştirilen yama ile giderilmiştir. İlgili yama veya kompansatif kontroller için referans bölümünün incelenmesi önerilmektedir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

By Can Demirel

DragonFly ve Türkiye Enerji Tesislerine Olası Etkileri

DragonFly ve Türkiye Enerji Tesislerine Olası Etkileri

6 Eylül 2017 tarihi itibarıyle DragonFly 2.0 ile enerji sektörüne özelleşmiş siber saldırılar tekrar gündeme geldi. Her ne kadar enerji sektörü özelinde siber saldırlar yeni yeni gündemi meşgul etse de yakın geçmişe baktığımızda çok ciddi sonuçlar doğuran siber saldırılara hep birlikte şahit olduk.

Bunlardan en göze çarpanının Ukrayna enerji altyapılarına düzenlenen saldırılar olduğunu söylemek yanlış olmayacaktır. 2015 ve 2016 yıllarında Ukrayna’da gerçekleşen siber saldırılar sonucu yüzbinlerce insanın belirli süre elektriksiz kaldığı belirtiliyor. Ek olarak geçtiğimiz aylarda Avrupa’da enerji altyapılarının saldırılara maruz kaldığı, Amerika’da bazı nükleer tesislerin de saldırılara hedef olduğuna ilişkin haberler de gündemi bir süre meşgul etti. “Blackout” olarak adlandırdığımız, bir bölgenin veya yüksek sayıda insanın/altyapının elektriksiz kalması durumunun siber saldırılar sonucu da ortaya çıkabileceği, yüzleşmek zorunda olduğumuz bir gerçek.

Saldırganlar Neden Enerji Sektörünü Hedef Alır 

Saldırgan grupların enerji sektöründe genellikle elektrik altyapılarını hedef aldığı görülüyor. Kritik altyapılar içerisinde elektrik enerjisinin çok hayati bir rolü bulunuyor. Elektrik enerjisi olmadan diğer kritik altyapıların güvenliğinden söz etmek imkansız hale geliyor. Güvenlik perspektifi dışından baktığımızda, üretim altyapılarının durması, ulaşım altyapılarının devre dışı kalması, iletişim sistemlerin çalışamaz hale gelmesi ülke ekonomisine ciddi zarar verebilir. Bu kritik durumun farkına varan ülkelerin, çeşitli önlemleri devreye aldığını görüyoruz. Amerika Birleşik Devletleri ve Avrupa Birliği’nde Elektrik Enerjisine yönelik siber güvenlik bilgi paylaşım mekanizmaları devreye alındı. Son dönemde Uzakdoğu’da da bu konunun gündemde olduğu biliniyor. Biznet Bilişim A.Ş. olarak her üç kıtadaki ilgili kurumlar ve konu uzmanları ile oluşturduğumuz ağ sayesinde, gelişmeleri yakından takip ediyoruz. Jeopolitik konumu gereği doğal bir enerji koridoru olan ülkemizin enerji altyapılarının siber saldırılara hedef olması şaşırtıcı değil. “Nation level” olarak adlandırılan devletler seviyesi saldırılar veya doğrudan saldırganların düzenleyeceği saldırılar önlem almamız zorunda olduğumuz tehdit vektörleri arasında bulunuyor.

DragonFly, DragonFly 2.0 ve Türkiye

 DragonFly Symantec firmasının 6 Eylül tarihinde yayımladığı rapor ile tekrar gündeme geldi. DragonFly en yalın anlatımla, bir hacker grubuna verilen isimdir (Farklı üreticilerin Energetic Bear olarak adlandırdığı da görülüyor). Konuyla ilgili raporlar incelendiğinde, 2010 yılından beri var olan grubun aktivitelerinin inişli çıkışlı olduğu görülüyor. 2010-2014 yılları arasında Amerika ve Avrupa’da enerji sektörüne yönelik saldırılara bakıldığında, bazı saldırıların bu grupla ilişkilendirilebileceğine dair güçlü deliller bulunuyor. Bu bilgiler neticesinde 2014 yılında Dragonfly’ı ilk kez duymuş olduk. 6 Eylül tarihli rapor ile grubun çalışmalarını durdurmadığı ve şu anda aktif olduğu bilgisine ulaşılıyor. Özellikle 2015 yılının sonundan itibaren yeni saldırı vektörleri kullanarak saldırılara devam ettiği raporlanıyor. Bu ikinci evre de DragonFly 2.0 olarak adlandırılıyor.

DragonFly 1.0’a Genel Bakış

2010-2014 yılları arasındaki saldırılar incelendiğinde Amerika özelinde sırasıyla havacılık, savunma sanayi ve son olarak 2013 yılı itibarıyla da enerji tesislerinin hedef alındığını görüyoruz. Şubat 2013 tarihinde Symantec firması belirli kuruluşlardan bilgi sızdırma odaklı bir spear-phishing saldırısının varlığını keşfettiğini bildiriyor. İlgili saldırının Haziran ayına kadar sürdüğü ve özel olarak hedef seçilmiş kişileri içeren planlı saldırılar gerçekleştirildiği raporlanıyor. Bununla birlikte “watering hole” olarak adlandırılan saldırılar da düzenlendiği belirtiliyor. Bu saldırı türünde, hedef seçilen kurum ve çalışanlarının ziyaret etmesi muhtemel web sayfaları üzerinden hedef sistemlere zararlı yazılım bulaştırılmasını amaçlanır. Öte yandan, yine aynı grubun, doğrudan Endüstriyel Kontrol Sistemi (EKS) üreticilerine saldırı düzenleyerek, hedef kurum tarafından indirilmesi muhtemelen yazılımlara zararlı yazılım bulaştırdığı ve bu yolla hedef kuruma ulaşmayı denediği bilgisi de mevcut. Bu anlamda saldırının üç ana fazda gerçekleştirildiğini söylemek mümkün;

  1. Spear-phishing aşaması
  2. Watering hole tekniği ile zararlı yazılım bulaştırma aşaması
  3. Üreticilerden üzerinden zararlı yazılım bulaştırma aşaması

Bu üç aşama sonrası temel amacın, iç ağa sızmak, sızılan bileşenlerin uzaktan kontrolünü sağlamak ve iç ağ üzerinden bilgi sızdırmak olduğu aşikar. Saldırı sırasında kullanılan zararlı yazılımlar incelendiğinde (Örn:Havex) temel felsefenin espiyonaj olduğu görülmektedir. Sisteme ilk olarak EKS harici bir ağdan sızılmış olması -kapalı devre tasarım ilkesi gereği- bir hayli muhtemel. Bu sebeple OPC (Ole for Process Control) gibi farklı kontrol ağlarına ilişkin verilerin paylaşım noktası olan bileşenlerin hedef alındığı ve bu bileşenler üzerinden kontrol ağlarına ilişkin veriler toplandığı, HMI (Human Machine Interface) bileşenleri üzerinden ekran görüntüleri alındığı raporlanmaktadır. Bu durum, temel amacın kontrol ağına ilişkin bilgi toplamak olduğunu işaret etmektedir. Toplanan bu bilgilerin daha sonra daha karmaşık bir saldırıda kullanılıp kullanılmayacağı ise incelenmesi ve takip edilmesi gereken bir konu olarak karşımıza çıkmaktadır. Çünkü zararlı yazılımın cihazlar üzerine herhangi bir aktif saldırı gerçekleştirmediği tespit edilmiştir.

Tüm bu bilgiler ışığında raporu hazırlayan güvenlik firmasının 2014 yılındaki veriler ışığında yayımladığı DragonFly 1.0  raporuna göre, etkilenen ülkeler arasında; %27 ile İspanya, %24 ile Amerika Birleşik Devletleri, %6 ile Türkiye yer almaktadır.

DragonFly 2.0’a Genel Bakış

Dragon 2.0’a ilişkin güncel raporda üç ülke göze çarpmaktadır: Türkiye, Amerika Birleşik Devleri ve İsviçre. raporda henüz üklerin ne kadar etkilendiğine dair oranlar bulunmuyor, fakat ülkemizin ilk saldırı dalgasına oranla daha fazla saldırıya maruz kaldığı dile getiriliyor. Öte yandan, iki saldırı dalgasının da aynı grup tarafından yapıldığına dair kuvvetli şüphe olduğu, bu kuvvetli şüphenin de nesnel dayanakları olduğu görülüyor. Her iki saldırı zincirinde de blackmarket’te bulunmayan zararlı yazılım kullanılması en önemli delillerden biri olarak gösteriliyor. İlgili firma raporunda, DragonFly 2.0’ın sadece bilgi sızdırma ve kontrol ağına ilişkin veri toplamakla kalmayıp, sabotaj riski taşıdığı ve operasyonel ortama zarar vermesinin ihtimal dahilinde olduğu bildiriliyor.

Sonuç

Her ne kadar DragonFly’ın kritik altyapılara sabotaj ve zarar verme ihtimalinin altı çizilse de, şu ana kadar  herhangi bir enerji tesisinin DragonFly sebebiyle devre dışı kaldığına ilişkin bir bildirim bulunmuyor. Bu durum, elbette ki kesin olarak bir olay yaşanmadığı anlamı taşımasa da yine de önemli bir gösterge olarak değerlendirilebilir.

Tüm bu bilgiler ışığında, DragonFly’ın tek başına doğrudan blackout derecesinde kesintilere sebep olacağını söylemek tam anlamı ile doğru olmayacaktır. Kontrol ağına sızılabilir olmasının, o tesisin her zaman tümden devre dışı bırakılacağı anlamını da taşımadığı, arka planda atlatılması gereken farklı koruma mekanizmalarının da bulunduğu unutulmamalıdır. Ancak söz konusu koruma mekanizmalarının devrede olmadığı durumlar bu olabilir. Kritik altyapı işletmecileri, güvenlik analizi ve sızma testi çalışmaları yaparak, bu türden gerçek dünya senaryolarını simüle edip, bilinen ve bilinmeyen saldırı vektörlerine karşı ne derece güvenli olduklarını belirlemelidir. Risk analizleri, EKS özelinde güvenlik bilinci ile gerçekleştirilmeli, tüm savunma mekanizmaları, tehditler, atak vektörleri, açıklıklar iyi analiz edilmelidir. Oluşturulan güvenlik mekanizmalarının da devre dışı bırakabileceği unutulmamalı, bu sebeple kritik altyapılarda sürekli izleme altyapıları oluşturulmalı ve gerekli insan kaynağı yetiştirilmelidir.

EKS altyapılarında temel güvenlik stratejileri için bu yazımızı inceleyebilirsiniz. Tek bir saldırı vektörü ile tüm ülke enerji altyapısının devre dışı bırakılmasının neden zor olduğuna dair 16 mayıs 2016 tarihli bu yazımız da ilginizi çekebilir.

Kaynaklar

https://www.sans.org/reading-room/whitepapers/ICS/impact-dragonfly-malware-industrial-control-systems-36672

https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

 

By Can Demirel

Hanwha Techwin SRN-4000 Yetkisiz Erişim Güvenlik Açığı

Hanwha Techwin SRN-4000 Yetkisiz Erişim Güvenlik Açığı

CVE: CVE-2017-7912

CVSS: 9.8 (CVSS: 3.0 /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Risk Seviyesi: Kritik

Ürün: Hanwha Techwin SRN-4000

Etkilenen Sürümler: AK 2013 ve Öncesi

Yama Tarihi: 16 Mayıs 2017

Raporlayan: Can Demirel, Faruk Ünal

Problem Detayları: Hanwha Techwin kritik altyapılarda saha izlemelerini sağlamak amacıyla kullanılan kamera altyapısıdır. Saldırganlar web tabanlı yönetim arabirimine yapılan istek ve cevapları değiştirerek  yönetici hakları ile bağlanmaları mümkündür. Bu açıklık kullanılarak kritik altyapılardaki hassas süreçlerin izlenmesi mümkün olacaktır.

Çözüm/Öneri: Belirtilen problem üretici tarafından geliştirilen yama ile giderilmiştir. İlgili yama veya kompansatif kontroller için referans bölümünün incelenmesi önerilmektedir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-136-03

By Can Demirel

SANS ICS (Industrial Control System) Security Summit Ardından

SANS ICS (Industrial Control System) Security Summit Ardından

Biznet Bilişim olarak son iki yıldır endüstriyel kontrol sistemlerinin (EKS) siber güvenliğine yönelik çalışmalarımızı, bu yıl itibariyle daha da yoğunlaştırdık. Bu çerçevede uluslararası alanda ikili işbirlikleri kurmak, konu uzmanları ile doğrudan temasta bulunmak ve ilgili eğitimleri alarak hizmet kalitemizi artırmak adına Mart ayında Orlando, Florida’da 12.si düzenlenen SANS ICS Summit’e katıldık. Ülkemizde de EKS siber güvenlik farkındalığının giderek arttığını düşünerek bu etkinlikte edindiğimiz izlenimleri sizlerle paylaşmak istedik.

SANS ICS Summit en yalın haliyle, endüstriyel kontrol sistemlerine (EKS/ICS/SCADA) yönelik çalışma yapan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanların iki günlük konferans süresince hem konferans üzerinden hem de özel olarak belirlenmiş tanışma oturumları ile bilgi paylaşımını amaçlamaktadır. Zirve’nin bir diğer avantajı ise özellikle EKS/SCADA Siber Güvenlik eğitimlerinin toplu olarak sunulması. Biz de bu fırsatı kaçırmamak adına “ICS410: ICS/SCADA Security Essentials” ve  “Assessing and Exploiting Control Systems”  eğitimlerine katıldık.

Zirvede tartışılan konuları gruplarsak aşağıdaki başlıkların öne çıktığını söyleyebiliriz.

1- EKS/ICS/SCADA Siber Güvenlik Yönetimi ve Yönetişimi

2- EKS/ICS/SCADA Siber Olaylara Müdahale Altyapılarının Kurulumu ve Yönetimi

3- Kamu ve Özel sektör etkileşimi

4- Güvenli protokollerin oluşturulması

5- IoT ve I2oT (Industrial IoT) güvenliği

Yukarıda listelenen konularda EKS/SCADA siber güvenliği alanında çalışma yapan uzmanlarla bir araya gelmek, onların karşılaştığı zorlukları birinci ağızdan dinlemek, bilgi birikimlerinden faydalanmak ve uluslararası alanda ikili ilişkilerin kurulması yürütmekte olduğumuz çalışmaların ivmelenmesi konusunda pozitif bir etki yaptı.

Zirve’nin ağırlıklı gündeminin ve ara oturumlarda görüşülen en önemli konunun siber olaylara müdahale, olay koordinasyonu ve tatbikatlar olduğunu söylemek yanlış olmayacaktır.

EKS Siber güvenliği tarafında en gelişmiş hatta öncü pazar olan Kuzey Amerika’da, farkındalığı en yüksek olan sektör Enerji ve Enerji içerisinde de Elektirik üretim ve dağıtım endüstrisi. Bu nedenle, Zirve sırasında Elektrik Sektörüne yönelik özel bir ilgi ve bunun neticesi olarak özel bir içerik olduğunu belirtmekte fayda var. Bu konuya yönelik ek oturumlar düzenlendi. Bu oturumlardan bazılarının başlıkları şöyle: “Electricity Information Sharing and Analysis Center (E-ISAC) Cyber Risk Preparedness Assessment Training” ve “Resiliency in the Electricity Subsector: Information Sharing and Exercises against Black Sky Events”. Söz konusu alanda, bilgi paylaşım mekanizmalarının kurulması ve kademeli olay müdahalenin gerçekleştirilmesi için uzun soluklu projeler ve çalışmalar mevcut.

12 yıldır yapılmasına rağmen bu yıl Zirve’de bir yenilik de vardı. Tamamen Endüstriyel Kontrol Sistemleri’ne yönelik, “ICS Netwars Capture the Flag” adında bir Bayrak Yakalama (CTF) yarışması düzenlendi. Bizde bu yarışma katıldık ve 25 takım arasından 7. olarak tamamladık . Özellikle EKS uzmanlarının yer aldığı takımların daha başarılı sonuçlar aldığını gözlemledik. Bu durum, kurulumunu tamamlamak üzere olduğumuz EKS Siber Güvenlik takımımızda, EKS uzmanlarının da yer almasının faydalı olacağı konusunda aldığımız kararı doğrulaması açısından önem arz ediyor.

Zirve’nin bir diğer faydası ise özellikle EKS/SCADA ya da kısaca OT (Operational Technology) altyapı’larına yönelik geliştirilmiş siber güvenlik ürün çözümlerinin değerlendirilmesi konusunda oldu. Altyapı yöneticileri, danışmanlar, EKS entegratörleri ve üreticiler ile farklı segmentlere hitap eden OT güvenlik ürünlerinin değerlendirilmesi ve karşılaştırılması konusunda fikir alışverişinde bulunduk.

Zirve katılımcılarının büyük çoğunluğunun Amerika’dan olduğunu gördük. Bu özel ilginin nedeninin, özellikle enerji sektörüne yönelik düzenlenen regülasyonlar olduğunu söylemek yanlış olmayacaktır. Avrupa’nın da bu alanda regülasyon hazırlıkları olsa da, şu an ve yakın gelecekte EKS/SCADA’ya ilişkin siber güvenlik konusunda Amerika’nın bu alanda öncülük yapmaya devam edeceği görülüyor. Yine de EKS siber güvenliği, BT siber güvenlik alanına göre oldukça yeni. Bu fırsat regülasyonlar ve insan kaynağı yatırımları ile desteklendiğinde, ulusal güvenlik için de büyük  önem arz eden bu konuda ülke olarak bilgi ihraç eden ve konuya liderlik eden bir konuma yükselmemiz uzak bir ihtimal olarak görünmüyor.

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

 

By Can Demirel

Burp Extension: BurpValueEncoder

Burp Extension: BurpValueEncoder
BurpSuite, web uygulama kontrollerinde gerekli pek çok kontrolün oldukça rahat bir şekilde gerçekleştirilmesine olanak tanıyan yardımcı bir araçtır. Test edilen uygulamanın teknolojisinden bağımsız olarak istekleri işlemeye ve oluşan çıktıları çeşitli şekillerde incelemeye izin vermesi ek olarak ihtiyaca özel uygulamalar yazmasına olanak tanıması en önemli avantajları arasındadır.

Güncel web uygulamalarında bazı verilerin kullanıcı tarafında encode edilerek sunucuya gönderildiği, sunucu tarafında ise gelen verinin öncelikle decode edilip, sonrasında işleme alındığı görülmektedir. Özellikle dosya yükleme uygulamalarında böyle durumlar ile oldukça sık bir şekilde karşılaşılmakta olup bu tip uygulamalarda otomatik tarama gerçekleştirirken, gönderilen her payload için encoding işlemi de yapılması gerekmektedir. Aksi takdirde gönderilen değer işleme alınmadan önce sunucu üzerinde decoding aşamasından geçeceği için Sizin gönderdiğiniz değer sunucuda işleme alındığında değiştirilmiş olacaktır.

Web uygulamalarında yüklenilen dosyalar sonrasında işleme alınıyor ise her kolondaki veri Sizin için ayrı bir parametre alanı olarak düşünülmelidir. Fakat bu parametre alanlarını test etmek her zaman kolay olmayabiliyor. Kullanıcı tarafında encode edilen dosyanın testi için, her parametre denemenizde tekrar excel dosyasına müdahale etmeniz gerekecek ve normal bir taramaya oranla daha az payload deneme şansınız olacaktır. Bu sorunun önüne geçmek ve daha yüksek kaliteli testler ortaya çıkarmak için geliştirdiğimiz burpsuite extenssion ile bu tip uygulamaları da artık kolaylıkla tarama şansı elde edebilirsiniz.

“Value Encoder” isimli extension ile burpsuite üzerindeki bütün isteklerinizde encoding işlemini kolaylıkla gerçekleştirebilirsiniz. Encode etmek istenilen parametrenin başına ve sonuna aşağıdaki gibi encoding değerlerini ekleyerek, girilen değerleri karşı tarafa encode edilmiş halde iletebilirsiniz.

Kullanılabilir encoding değerleri aşağıdaki gibidir.

  • _base64’Payload’_base64
  • _url’Payload’_url
  • _asciiHex’Payload’_asciiHex

“Value Encoder” aktif durumdayken, taramak istediğiniz parametreyi yukarıdaki değerler ile düzenleyerek,  burpsuite üzerinde aktif tarama da gerçekleştirebilirsiniz. Buna dair örnek bir kullanım şekli aşağıda görseller ile anlatılmaktadır.

Örnek olarak yüklenilecek extension.csv dosyası aşağıdaki gibidir.

Buradaki her virgül arası ayrı bir değer olmakta olup, hepsini ayrı ayrı burpsuite ile aktif taramadan geçirebiliriz.

Normalde dosya yüklenmek istenildiğinde oluşan örnek request ise aşağıdaki gibidir.

Yukarıdaki istekte işaretli alanda da görülebileceği gibi, dosya içeriği base64 ile kullanıcı tarafında encode edilmiş ve sonrasında sunucuya gönderilmiştir. İşaretli kısmı base64 decode ettiğimizde aşağıdaki gibi dosya içeriği görülmektedir.

 

Şimdi ilgili isteği Intruder’a göndererek aşağıdaki gibi düzenliyoruz. Intruder’da öncelikle encode edilmiş, “Value Encoder” için aşağıdaki gibi düzenliyoruz.

Sonrasındaki işlemler ise normal kullanımdaki gibi ilerlemektedir. Öncelikle taramak istediğimiz bölümü seçiyoruz, sonrasında ise aktif taramayı başlatıyoruz. Örnek olarak ‘biznet’ yazılı olan kısım aktif taramaya verilecektir.

Tarama başlatıldığında giden istekler incelendiği zaman, hepsinin encode edilerek gönderildiği görülmektedir.

Yukarıdaki ekran alıntısında verilen değer decode edildiğinde, taramak istediğimiz alanı hem burpsuite üzerinden aktif tarama ile hemde encode edilmiş şekilde payload göndererek tarama yapabildiğimiz görülmektedir.

Detaylara aşağıdaki bağlantıdan erişebilirsiniz.

https://github.com/BiznetLab/BurpValueEncoder

1 2 3