BiznetBiznet

By İsmail Mert Ay Ak

S4x19 Endüstriyel Kontrol Sistemleri Güvenliği Konferansı İzlenimlerimiz

Biznet Bilişim olarak, her geçen gün endüstriyel kontrol sistemleri (EKS) güvenliği alanında deneyimlerimizi ve uzmanlığımızı geliştirmeye devam ediyor ve endüstriyel kontrol sistemleri güvenliği alanında çalışmalarımızı hız kesmeden sürdürüyoruz.

2018 Kasım ayında özel sektör, kamu ve akademinin buluştuğu kritik altyapılar başta olmak üzere EKS ve SCADA altyapılarına ilişkin siber dayanıklılık konularının gündeme geldiği Türkiye’nin ilk Endüstriyel Kontrol Sistemleri Siber Güvenlik konferansımızı gerçekleştirmemizin ardından, bu konuda uluslararası konjonktürde gelişmeleri takip etmek, niş alanlar üzerinde deneyimler edinmek, ikili işbirlikleri kurarak hizmetlerimizi olgunluk seviyesini arttırmak, konunun uzmanları ile doğrudan temasta bulunarak fikir alışverişi yapmak ve EKS ile ilgili güncel konular üzerinde global yaklaşımları gözlemlemek amacıyla, Miami/Florida’da bu yıl dünyanın en büyük Endüstriyel Kontrol Sistemleri konferansı olan S4 ICS Security Event’e bu yıl ikinci kez katılım sağladık. Ülkemizde EKS güvenliğinin öneminin giderek arttığı bu dönemde, etkinlikte edindiğimiz izlenimleri sizinle paylaşmak istedik.

S4 ICS Security Event, ABD’de her yıl gerçekleştirilen, Endüstriyel Kontrol Sistemleri başta olmak üzere, IoT, IIoT konularının güvenliğine yönelik çalışma yapan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanların buluştuğu en büyük etkinliklerden biri olarak göze çarpıyor. Bu sene, 27 farklı ülkeden 529 katılımcının katıldığı S4x19 14-17 Ocak 2019 tarihleri arasında gerçekleştirildi. Etkinliğin ilk günü, temel OT güvenliği konularının ele alındığı OnRamp Training olarak adlandırılan eğitimle başlamış olup, devam eden 3 gün ise OT güvenliği ile ilgili bir çok farklı konudaki oturumlarla devam etti.

Aynı zamanda etkinlik boyunca gerçek bir EKS ve IIoT simülasyonu üzerinde bir CTF (Capture the Flag) yarışması düzenlendi. Hem firmaların hem de bireysel katılımcıların katıldığı bu yarışmada katılımcılar farklı segmentteki konularda uzmanlıklarını yarıştırdılar. Bu CTF’e ek olarak bir de Detection Challenge  adı verilen ve anomali tespit araçlarının yeteneklerinin ölçüldüğü ayrı bir yarışma daha düzenlendi. Bu yıl geçen seneden farklı olarak sadece iki farklı firma bu yarışmaya katılım gösterdi.

Konferans dahilinde gerçekleştirilen S4 Welcome Party, The Cabana Seasons ve Farewell Craft Beer Bash etkinlikleri EKS alanında çalışan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanlarla birebir görüşmek, bilgi paylaşımlarında bulunmak ve deneyimleri dinlemek açısından sosyal bir iletişim platformu sağlamada çok yararlı oldu.

Konferans üç farklı sahnede gerçekleştirildi; bu sahneler;

  • Main Stage, etkinliğin asıl oturumlarının, panellerinin yapıldığı sahne,
  • Sponsor Stage, etkinlik sponsorlarının bu alanda yaptıkları çalışmaları ve geliştirdikleri ürünleri anlattıkları sahne,
  • Stage 2, Technical Deep Dive olarak adlandırılan, konuya derinlemesine bir bakış açısı ile hazırlanmış sunumların ve demoların gerçekleştirildiği sahneler olarak açıklanabilir.

Konferans konularını bir başlık altında değerlendirirsek aşağıdaki başlıkları sayabiliriz;

  • EKS Olay Müdahale ve Tespit
  • OT Atakları ve Atak Yöntemleri
  • EKS Zafiyet ve Risk Yönetimi
  • Güvenli EKS Ağ Tasarımları ve Mimarileri
  • EKS Güvenlik Stratejileri
  • OT-SoC
  • IoT-IIoT Güvenliği
  • OT Protokolleri ve Güvenliği
  • Endüstri 4.0 Güvenlik Yaklaşımları

Yukarıdaki konular üzerinde yapılan sunumlar ve bu alanlar üzerinde çalışmalar yapan uzmanlarla bir araya gelerek bilgi birikimlerinden faydalanmak, Biznet Bilişim olarak EKS Güvenlik hizmetlerimizin geliştirilmesinde ve uluslararası boyutta yürütmekte olduğumuz çalışmaları ivmelendirmek açısından pozitif etkiler yarattı.

Konferansta gerçekleştirilen sunumlardan dikkat çeken birkaç başlığa da değinmek istedik.

  • Is The Purdue Model Dead? And What’s Next?

Güvenli EKS/SCADA ağ mimarisi olarak değerlendirilen Purdue Model üzerine yapılan bu oturum, teknolojinin gelişimi, etkileşimli OT ağlarının (Cloud, IIoT, Secure Remote Access, vb.)  gün geçtikçe artması ve üretici bazlı oluşturulan mimariler ile Purdue Model’in artık -best practice- olamayacağı konusunda bir tartışma olarak gerçekleştirildi. Bu konuda iki farklı görüşün çıkarımlarını dinlemek OT güvenlik mimarilerine yeni bir bakış açısı kazanmamıza olanak sağladı.

  • MITRE’s ICS ATT&CK (Adversary Tactics and Techniques)

MITRE’nin geliştirdiği ATT&CK, siber olay modellemesi, olay müdahale ve tespiti prosedürlerinin geliştirilmesi konusunda IT yapıları için geliştirilmiş TTP(Tactics, Techniques&Procedures) tabanlı risk modelleme platformudur. S4’de katıldığımız bu oturumda IT yapıları için hazırlanan ATT&CK modelinin EKS yapılarına uyarlanması konusunda yapılan çalışmayı dinlemek ve bu platformun EKS yapılarına uyarlanması konusunda edinilen bilgileri kendi hizmetlerimizin zenginleştirilmesi ve ATT&CK bakış açısını EKS yapıları için kazanılması konusunda fikirler edinmiş olduk.

  • A New CVSS for ICS

Bu sunumda ise uzun zamandır üzerinde çalıştığımız yeni bir risk değerlendirme yaklaşımının ele alındığı hali hazırda kullanılan CVSSv2 ve CVSSv3 standartlarının EKS zafiyetleri için yeterli olmadığı konusuna değinildi. EKS zafiyetlerinin geleneksel IT güvenliği temeli olan CIA üçlüsü dışında safety temelli ve riskin yaratabileceği etki çerçevesinde şekillendirilmesi gerektiği görüşleri değerlendirildi. Bu anlamda vermiş olduğumuz kritik altyapı güvenlik denetimlerinde risk değerlendirmesinde bu bakış açısından bakılarak, risklerin derecelendirmesinin daha faydalı olacağı görüşünü değerlendirmiş olduk.

Ayrıca, zafiyet araştırmaları konusunda yapılan teknik sunumlarda ve EKS güvenlik uzmanları ile yaptığımız birebir görüşmelerde, çeşitli testbed (Test Yatağı) örnekleri ve sürecin nasıl işletilmesi gerektiğine yönelik deneyimleri dinlemek, ülkemizde de bu alanda nasıl çalışmalar yapabileceğimiz ve nasıl bir süreç ile sürdürebileceğimiz konusunda çok yararlı oldu.

OT güvenlik çözümleri, anomali tespit ürünler konularında üreticilerle gerçekleştirdiğimiz görüşmeler ve izlediğimiz üretici sunumları sayesinde, birçok ürünün karşılaştırmasını, sağladığı avantajları değerlendirmemiz ve bu açıdan hizmetlerimizin geliştirilmesi konusunda kurabileceğimiz uluslararası iş birliklerini değerlendirme fırsatı bulduk.

S4x19’da yapılan CTF esnasında gerçekleştirilen ICS Detection Challenge’da ise anomali tespit ürünleri CTF ortamındaki tespitleri değerlendirildi. CTF ortamı üzerinde oluşturulan 300 GB’dan fazla trafik yakalanarak pcap haline getirilerek bu pcap’ler üzerinde yapılan anomali tespitinde, yarışan ürünlerin %100 oranında ağ görünürlüğünü nasıl sağladığı, tespit edebildikleri anormallikler ve verileri nasıl analiz ettiklerine yönelik bir sunum daha gerçekleştirildi. Bu sunumda da, anomali tespiti ürünleri değerlendirmek açısından faydalı çıkarımlar yapmamıza etki etti.

By Murat Aydemir

Endüstriyel Kontrol Sistemleri için Purdue Katmanlı Güvenlik Mimarisi

Endüstriyel Kontrol Sistemleri (EKS), teknolojinin gelişmesi ve bu teknolojilerin endüstriyel ortamlarda kullanılmasıyla beraber her geçen gün daha yetenekli sistemler haline gelmektedir. Bu gelişimin önemli sebeplerinden birisinin geleneksel IT teknoloji/metodlarının endüstriyel kontrol sistemlerine uyarlanması olduğunu söylemek yanlış olmayacaktır. Bu durum IT ve OT teknolojilerinin yakınsamasının bir sonucu olarak ortaya çıkmaktadır. Şüphesiz Endüstri 4.0 devrimi, IoT ve IIoT teknolojilerinin yaygınlaşması ve işletmelerin artan verimlilik, kolay erişilebilirlik gibi taleplerinin bir sonucu olarak IT ve OT ortamlarının birbirine yakınsaması kaçınılmaz oldu. Ancak IT-OT yakınsamasının kontrolsüz şekilde artması kritik altyapılar için yeni saldırı yüzeyleri oluştururken, IoT ve IIoT teknolojilerinin OT ortamlarında aktif olarak kullanılmaya başlanması EKS’ ler için atak vektörü sayısını arttıran diğer bir nokta olmaktadır.

Endüstriyel altyapılarda genellikle birbirleriyle ilişkili ve birbirlerini besleyen çok sayıda farklı süreçten oluşmaktadır; bu sebeple yapıları gereği flat(düz) ağ mimarisinden ziyade çok katmanlı mimarilere sahip topolojilerdir. Her katman, kendisiyle ilişkili başka katmanlarla iletişim halinde olmakla beraber, her katman için uygulanması gereken güvenlik kriterlerinin farklı olması sebebiyle, her katman güvenlik mekanizmaları açısından farklılık gösterebilmektedir. Bu nedenle EKS gibi çok katmanlı topolojiler için derinlemesine güvenlik(defense-in-depth) anlayışı uygulanmalıdır. Bu anlayış; siber saldırılara karşı alınan tüm önlemlerin bir şekilde atlatılacağı fikrini baz alarak geliştirilmiştir.  Derinlemesine güvenlik anlayışı; her katman için, ilgili katmanın gerekliliklerine-özelliklerine ve bulundurduğu varklıklara göre önlem alınıp, saldırganın başarı oranını düşürmeyi hedef almaktadır.

Endüstriyel altyapılarda güncel teknolojilerin kullanılması, bu sistemleri daha becerikli hale getirirken, sistemlerin olası atak yüzeylerini arttırarak siber tehditleri de arttırdığından bahsetmiştik. Bu bağlamda gerek atak yüzeylerinin minimum seviyede tutulması, gerekse – her katman için- kontrol sistemlerin yönetimini daha güvenli hale getirmek için Purdue Üniversitesi (Indiana) tarafından “Purdue Model” katmanlı ağ mimarisi geliştirilmiş ve International Society of Automation ISA tarafından EKS’lere uyarlanmıştır. ISA; mühendislik, teknoloji gibi alanlarda iyileştirmeler yapan, aynı zamanda endüstriyel otomasyon ve kontrol sistemleri için standartları oluşturan bir kurum olup ISA-99 standardıyla beraber EKS’ler için siber güvenlik standardını oluşturmuştur.

By Murat Aydemir

Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2019 Yılı Tahminleri


Endüstriyel Kontrol Sistemleri (EKS), hem dünyada hem Türkiye’de siber güvenlik konusunda oldukça yoğun ve hareketli bir seneyi geride bıraktı. 2018 yılı, özellikle devlet destekli ve kritik altyapıları hedef alan saldırıları beraberinde getirirken, yarattıkları sonuçlar akıllarda “Kritik Altyapılar siber saldırılara karşı ne kadar dayanıklı?” sorusunu bir kez daha sormamıza neden oldu.

Hızlı dijitalleşen ve IT yapıları ile daha fazla entegre olan EKS-OT altyapıları yeni ve güncel tehditlerle yüz yüze kalıyor.  Kritik altyapılarda siber güvenlik olgunluğunun geleneksel IT ortamlarına kıyasla istenilen seviyede olmayışı 2019 yılının da en az geçtiğimiz yıllar kadar hareketli geçeceğini rahatlıkla söyleyebiliriz.

Geçtiğimiz yıl boyunca Türkiye, Uzak Doğu, Avrupa ve Kuzey Amerika’dan elde ettiğimiz pazar yönelimleri bilgisi, sürekli olarak takip ettiğimiz uzman raporları, global endüstriyel altyapı üreticileriyle yapılan ikili görüşmeler ve üniversite-sanayi işbirliklerimiz sonucunda elde ettiğimiz bilgi ve tecrübeleri, EKS ekibimizdeki uzmanlarımızın tahminleriyle birleştirerek bu yıl EKS ve Kritik Altyapılar için bizleri nelerin beklediğini özetleyen bir tahmin raporu oluşturduk.

Saldırıların ve saldırganların hem niceliği hem de niteliği artacak

2018 yılı içerisinde devlet destekli çeşitli APT gruplarının (Energetic Bear/Crouching, GreyEnergy vb.) bazı ülkelerin EKS ve Kritik Altyapıları hedef alan saldırılarının devam ettiğine şahit olduk. Her olayda devlet desteği doğrudan kanıtlanamasa bile, siber savaşın yeni bir savaş alanı olarak belirlenmesi devletlerin bu tarz APT grupları destekleyerek, caydırıcı bir güç oluşturma istekleri ve savaşların geleneksel yöntemlerden uzaklaşıp siber savaşlara evrilmesi, bu gibi devlet destekli siber saldırıların 2019 yılında artarak devam edeceğine işaret etmektedir. Kritik altyapılar özelinde, bu saldırılardan kimi doğrudan zarar vermeye odaklı saldırılar olacağı gibi uzun vadeye yayılmış bilgi toplama amaçlı saldırıların da olabileceği unutulmamalıdır.

Endüstri 4.0 ile beraber tüm dünyada etkisi altına alan dijitalleşme trendinin Endüstriyel Kontrol Sistemleri’nde de etkisini göstermesi ve endüstriyel işletmelerin artan verimlilik talepleri, IoT ve IIoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smart grid projeleri vb.) Kritik Altyapılarda ve OT ağlarında kullanım oranını arttırdı. IoT cihaz ve teknolojilerinin OT ağlarında kullanılması, çok sayıda avantaj ve fonksiyonalite sağlarken, -hem cihaz hem de protokol seviyesinde- çok sayıda zafiyeti de beraberinde getiriyor. 2019 yılı, IIoT ve IoT uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak.

İlk olarak 2017 Aralık ayında tespit edilen ve doğrudan Emergency Shut Down(ESD)/Safety Instrumented System(SIS) sistemlerini hedef almasından dolayı bu alanda ilk ve tek olma özelliği gösteren TRITON/TRISIS/HATMAN saldırısı kritik altyapılara yönelik saldırıların doğrudan çevresel zarar ya da can ve mal kaybına neden olabileceğini gözler önüne serdi. Saldırılara yeni bir boyut kazandıran ESD/SIS odaklı saldırılar, saldırganların bilgi birikimi arttırdığına ve daha tehlikeli saldırılar düzenlemeye hazır olduklarına işaret etmektedir. 2019 yılının kapsam ve nicelik bakımından daha sofistike saldırılara şahit olacağımız bir yıl olacağına dair kuvvetli ihtimaller bulunmaktadır.

Son iki yılda EKS sistemlerine gerçekleştirilen gerek saldırılar gerekse doğrudan işletme sahasındaki varlıkları hedef alan zararlı yazılımlar incelendiğinde, saldırıların çok spesifik ve teknik bilgi içerdiğini görmekteyiz. Özellikle 2018 yılında gerçekleştirilen saldırılar gösteriyor ki, saldırganların endüstriyel protokoller hakkındaki bilgilerinin yanı sıra IoT ve endüstriyel proseslere ilişkin bilgileri oldukça fazla. Bu durum saldırganların iyi niyetli çalışma araştırma çıktılarından da beslendiğini göstermektedir. Ek olarak siber karaborsada EKS zafiyetlerine olan talebin arttığını ve EKS zafiyetlerine erişimin oldukça kolay olması eklenince, 2019 yılında kötü niyetli saldırganların EKS spesifik bilgilerini arttırarak daha özelleşmiş ve hedef odaklı saldırılar düzenleyeceğini düşünüyoruz.

Ekosistem ve işbirliği hem yerel hem de küresel anlamda artacak

2018 yılı ekosistemlerin yükselişe geçtiği bir yıl oldu. Küresel boyutta; Avrupa, Kuzey Amerika ve Japonya bilgi paylaşım platformları arası bilgi paylaşım mutabakat anlaşması gerçekleştirildi. Kuzey Amerika ve Polonya ortak siber güvenlik çalıştayı gerçekleştirdi. Ülkemizde “Siber Küme” adı ile ekosistem çalışmaları faaliyetlerine başlandı ve yurt dışı ekosistemleri ile entegre oldu. Biznet Bilişim olarak ekosistem ve üniversite-sanayi işbirliğine olan desteğimizi vurgulamak ve bu alanda gerçekleştirilecek çalışmalara öncülük etmek için “EKS Siber Dayanıklılık Vizyon Planları”nı oluşturduk bu plan kapsamında olan çalışmalarımızı hayata geçirdik.  Bu çalışmaların en önemli iki çıktısı EKS Siber Güvenlik Kampı ve EKS Siber Güvenlik Konferansı oldu.

Üniversite-sanayi-devlet sarmalında 2019 yılında yurt dışında da örneklerini gördüğümüz ulusal test yataklarının daha fazla gündeme geleceği ve bu alanda somut adımların atılacağı bir yıl olacağını tahmin ediyoruz.

2018 yılında Endüstriyel Kontrol Sistemleri’ne yönelik saldırıların sayısı dramatik bir şekilde artış gösterdi. Sadece 2018 yılı ilk çeyreğinde tespit edilen saldırıların sayısı, 2017 yılının ilk çeyreğiyle karşılaşılan saldırılardan %40 oranında daha fazla olduğu görülmekte. Bu durum EKS ve Kritik Altyapılar için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019 yılında, gerek kamu kuruluşları ve özel endüstriyel işletmelerin, gerekse devletlerarasındaki siber istihbarat paylaşımının sınırları çizilerek (hangi tehdit hangi kurum/kuruluşlarla paylaşılacak, hangi bilgileri içerecek, ne şekilde ve hangi ortamda paylaşılacak vb.), bu alandaki siber istihbarat paylaşımının globalde artarak devam edeceğini, Türkiye’de ise kurumlararası siber istihbarat paylaşımının ilk adımlarının atılacağını düşünüyoruz. Bu anlamda kurum ve kuruluşların daha fazla simülasyon, test ve tatbikat çalışması gerçekleştireceklerini de öngörüyoruz.

Regülasyonlar endüstrilere özelleşerek hem kapsamı hem sayısı artacak

Avrupada’ki regülasyon kurulunun (Networking and Information Security-NIS) yayımladığı direktifler incelendiğinde, her endüstri için (petrol&doğalgaz, elektrik, enerji, su ve arıtma, sağlık ve medikal vb.) farklı standartlar belirlediğini görmekteyiz. 2019 yılında, ülkemizde bu alanda regülasyon ve standartları belirleyen Enerji Piyasası Denetleme Kurulu(EDPK)’nın enerji sektörüne yönelik siber güvenlik çalışmalarının sayısını arttırarak, yeni regülasyonları hayata geçirmelerini öngörüyoruz.

EKS alanındaki Siber Milliyetçilik hassasiyeti artarak devam edecek

Kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti ilk olarak 2017 yılında ortaya çıkmış olup, giderek artan bir grafik çizerek dünya çapında hızla yükselen trendlerden biri oldu. 2018 yılında da artarak devam eden bu hassasiyet sonucunda, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece yeterli ve yerli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olmakla beraber, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesini gerektirmekle beraber, aksi halde ulusal kritik altyapılarının siber saldırıların odak noktası olacağı bilincini de beraberinde getirmektedir. Kritik altyapıların ekonomi ve ulusal güvenlik bakış açısıyla çok önemli olmasından dolayı Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını öngörüyoruz.

Satınalma ve Birleşmeler artarak devam edecek

2018 yılı içerisinde ticari birleşmelerin ve ikili iş birliklerin arttığı bir yıl oldu. Bunlardan başlıcaları, ForeScout’ın endüstriyel siber güvenlik firması Security Matters’ı satın alması, BMW’nin Claroty’e yatırım yapması ve Dragos’un GE ile iş birliği anlaşması oldu. 2019 yılında, satın almalar, birleşmeler ve ticari iş birliklerinin daha da artacağını öngörüyoruz. Bu etkileşim hem siber güvenlik üreticilerinin kendi arasında hem de endüstriyel üreticilerin siber güvenlik üreticileri arasında olacağını tahmin ediyoruz.

Savunmanın önemi artacak

Bu yıl konuşmacı olarak da yer aldığımız yılın en önemli EKS siber güvenlik etkinliklerinden biri olan SANS ICS etkinliğinin ana söylemi “Defense is doable” idi. Bu söylemin önemine ve içeriğine inanıyoruz. Tüm bu gelişmeler ışığında savunmanın hala yapılabilir olduğunu düşünüyoruz. Savunmanın bir parçası olarak Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri raporunda özetlediğimiz, gibi uçtan uca güvenlik, fiziksel güvenlik, tedarikçi güvenliği, güvenli tasarım ve yetkin uzman ihtiyaçları kritik altyapılarda artarak devam edecek.

Bunlara ek olarak savunma için endüstriyel altyapılarda görünürlük ihtiyacı artacak. Ağ görünürlüğünü arttırıp EKS-OT altyapılarının siber dayanıklılığını iyileştirmek için anomali tespit çözümleri daha popüler hale gelecek ve işletmelerin ana gündem maddelerin biri haline gelecek. Endüstriyel Kontrol Sistemleri’nin güvenliğinin tek bir metot yada yöntemle sağlanamayacağını geçen sene yayımlamış olduğumuz “Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri” raporunda altını çizmiştik. 2019 yılında şirketlerin olası tüm siber risklerini minimize etmek ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz. Bu öngörünün bir yansıması olarak, kritik altyapılara sahip işletmelerin geleneksel hizmet ve ürünlerin yanı sıra Olay Müdahale ve EKS spesifik Güvenlik Operasyon Merkezleri(SOC) gibi derin teknik bilgi gerektiren hizmetlere olan taleplerinde bir artış bekliyoruz.

By Can Demirel

GE Controller Dizin Gezinimi Güvenlik Açığı

CVE: CVE-2018-19003

CVSS :  7.4  CVSS V3 AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Risk Seviyesi: Yüksek

Ürün: GE Mark VIe, EX2100e, EX2100e_Reg, and LS2100e

Etkilenen Sürümler:
Mark VIe 03.03.28C – 05.02.04C arası tüm sürümler ,
EX2100e v04.09.00C öncesi tüm sürümleri,
EX2100e_Reg  v04.09.00C öncesi tüm sürümler
LS2100e v04.09.00C öncesi tüm sürümler

Yama Tarihi: 13.12.2018

Raporlayan: Can Demirel

Problem Detayları: GE Controller’ları üzerinde dizin gezinimi zafiyeti tespit edilmiştir. Bu zafiyet kullanılarak controller üzerindeki parola bilgisini ele geçirmek mümkündür.

Çözüm/Öneri:Üretici tarafından yayımlanan yamaların üretici kontrolünde devreye alınması önerilmektedir.

Referanslar:https://ics-cert.us-cert.gov/advisories/ICSA-18-347-04

1 2 3