Biznet BilişimBiznet Bilişim

By Can Demirel

SIEMENS Desigo PXC Yetkisiz Firmware Yükleme Zafiyeti

CVE: CVE-2018-4834

CVSS: 9.8 CVSS:3.0 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Risk: Kritik

Ürün: SIEMENS Desigo PXC

Etkilenen Sürümler: 6.00.204 öncesi tüm sürümler

Yama Tarihi: 24 Ocak 2018

Raporlayan: Can Demirel, Melih Berk Ekşioğlu

Problem Detayları: SIEMENS Desigo PXC kritik altyapıların bina otomasyonu amacıyla kullanılmaktadır. Desigo PXC üzerinde yetkisiz firmware yükleme zafiyeti tespit edilmiştir. Bu durum kullanılarak controller üzerinde tam kontrol sağlamak mümkündür.

Çözüm/Öneri: Üretici tarafından yayınlanan yamanın uygulanması tavsiye edilmektedir.

Referanslar:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-824231.pdf
https://ics-cert.us-cert.gov/advisories/ICSA-18-025-02

By Can Demirel

Geovap Reliance SCADA Cross Site Scripting (XSS) Güvenlik Açığı

CVE: CVE-2017-16721

CVSS: 6.1 CVSS:3.0 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Risk: Yüksek

Ürün: Geovap RELIANCE SCADA

Etkilenen Sürümler: 4.7.3 ve öncesi

Yama Tarihi: 30 Kasım 2017

Raporlayan: Can Demirel

Problem Detayları: Reliance SCADA uygulaması kritik altyapıların izlenmesi ve yönetilmesinde kullanılmaktadır.  Reliance uygulaması üzerinde Cross Site Scripting (XSS) problemi tespit edilmiştir. XSS problemleri uygulamaya bağlanan kullanıcılara ait oturum bilgilerini çalmak, phising saldırıları gerçekleştirmek gibi amaçlar ile kötüye kullanılabilirler.

Çözüm/Öneri: Belirtilen problemler 4.7.3 Update 3 güncellemesi ile giderilmiştir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-334-02

By Biznet Bilişim A.Ş.

BizBize Güvenlik Toplantıları – Endüstriyel Kontrol Sistemlerinde Bilgi Güvenliği – 16 Kasım 2017 İstanbul

16 Kasım 2017

Hilton İstanbul Kozyatağı

Endüstriyel Kontrol Sistemleri, enerji ve doğalgaz altyapıları, su şebekeleri, sağlık sistemleri, ulaşım kontrol sistemleri, savunma sanayi altyapıları, nükleer tesisler ve üretim tesisleri gibi kritik altypıların hepsinde kullanılmakta ve “güvenlik” kavramı bu sistemlerin tasarım ve işletiminde göz önünde bulundurulması gereken önemli bir kavram olarak karşımıza çıkmaktadır.

Biznet Bilişim ve SecurityMatters olarak sizi, Endüstriyel Kontrol Sistemleri Güvenliği hakkında bilgi paylaşımında bulanacağımız Bizbize Güvenlik etkinliğimize davet ediyoruz.

Kayıt ve Detaylar için lütfen tıklayın.

By Can Demirel

EnviDAS Ultimate  Yetkisiz Erişim Güvenlik Açığı

CVE: CVE-2017-9625

CVSS: 8.2 (CVSS: 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

Risk Seviyesi: Kritik

Ürün: EnviDAS Ultimate

Etkilenen Sürümler: 1.0.0.5 Öncesi tüm sürümler

Yama Tarihi: 12 Ekim 2017

Raporlayan: Can Demirel, Deniz Çevik

Problem Detayları: Envidas Ultimate kritik altyapılarda emisyon, hava ve su kalitesini izlemek amacıyla kullanılmaktadır. Kötü niyetli saldırganların,  yetkilendirme mekanizmalarındaki hatalardan faydalanarak web tabanlı izleme ve güncelleme yönetim arabirimlerine erişmesi mümkündür. Bu açıklık kullanılarak kritik altyapılardaki hassas verilerin izlenmesi ve değiştirilmesi olasıdır.

Çözüm/Öneri: Belirtilen problem üretici tarafından geliştirilen yama ile giderilmiştir. İlgili yama veya kompansatif kontroller için referans bölümünün incelenmesi önerilmektedir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

By Sefa Karabulut

Endüstriyel Kontrol Sistemleri (EKS) Bilişim Güvenliği Yönetmeliği

Endüstriyel Kontrol Sistemleri (EKS) Bilişim Güvenliği Yönetmeliği, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından enerji firmalarına yönelik olarak hazırlanmış ve 13 Temmuz 2017 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Söz konusu Yönetmelik, enerji piyasasında faaliyet gösteren firmaların EKS’lerinde kullanılan bilişim sistemlerine yönelik risklerin değerlendirilerek azaltılması veya ortadan kaldırılmasını amaçlamaktadır. Yönetmelikle yapılan çalışmaları denetleme ya da denetlettirme yetkisi EPDK’na verilmiştir. Kapsamlı bir çalışmanın ilk adımı olarak değerlendirilebilecek bu yönetmeliğin, EKS’lere yönelik tehditlerle ilgili önemli bir farkındalık yaratacağı ve kritik altyapılarla ilgili önlemlerin alınması için yol gösterici olacağı değerlendirilmektedir.

Yönetmeliğe ilişkin detaylı bilgilere bu doküman üzerinden ulaşabilirsiniz.

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedInFacebookGoogle+ ve Twitter’da sizleri bekliyoruz.

1 2