BiznetBiznet

By Murat Aydemir

GreyEnergy Mini Modülü Zararlı Yazılım Analizi

Bu rapor ilk olarak ESET analistleri tarafından tespit edilen ve Doğu Avrupa/Avrupa’da bulunan enerji altyapılarını hedef alan zararlı yazılımın analizini içermektedir. İlgili zararlı yazılım ilk olarak 2015 yılında tespit edilen ve doğrudan Polonya’da bulunan, konum ve işlev bakımında kritik bir öneme sahip bir elektrik altyapısında tespit edilmiştir. İlgili zararlı yazılım hedefindeki sistemler ve hem bulaşma hem de yayılma olarak BlackEnergy zararlı yazılımına olan benzerliğinden dolayı “GreyEnergy” olarak isimlendirilmiştir. Bu benzerliklerin yanı sıra, GreyEnergy zararlısının arkasındaki grubun, birçok yıkıcı saldırı ile bağlantılı olduğu bilinen TeleBots Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat/APT) grubu ile birlikte çalıştığını gösteren çok sayıda bağlantının olduğu görülmüştür.

Yazıya ulaşmak için lütfen tıklayınız.

By Murat Aydemir

SAE IT-systems FW-50 Remote Telemetry Unit (RTU) Path Traversal Güvenlik Açıklığı

CVE: CVE-2020-10634
CVSS v3: 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Risk Seviyesi: Yüksek
Ürün: SAE IT-systems FW-50 Remote Telemetry Unit (RTU)
Etkilenen Sürümler: FW-50 RTU, Series: 5 Series; CPU-type: CPU-5B; Hardware Revision: 2; CPLD Revision: 6
Yama Tarihi: 5 Mayıs 2020
Raporlayan: Murat Aydemir
Problem Detayları: SAE IT-systems FW-50 Remote Telemetry Unit (RTU)’ları elektrik dağıtımı, doğalgaz boru hatları, su ve arıtma sistemleri gibi çok sayıda uç lokasyona sahip proseslerde, SCADA (ya da DCS) ile uç lokasyonlar arasındaki endüstriyel haberleşme ve proses kontrolü için kullanılmaktadır. RTU üzerinde bulunan web uygulamanın dizin atlatma (path traversal) zafiyetinden etkilendiği belirlenmiştir. Yetkisiz kullanıcılar bu problem nedeni ile önemli yapılandırma dosyalarının içeriklerine erişim yapabilmektedirler.
Çözüm/Öneri: Üretici (SAE IT-system) ilgili zafiyetin giderilmesi için CPU kartının değiştirilmesi ve setIT yazılımının güncellenmesini önermektedir. Üreticinin yayımladığı çözüm dökümanına aşağıdaki bağlantıdan ulaşabilirsiniz.
https://www.us-cert.gov/ics/advisories/ICSA2012602
Referanslar:https://www.us-cert.gov/ics/advisories/ICSA2012602

By Murat Aydemir

SAE IT-systems FW-50 Remote Telemetry Unit (RTU) Cross Site Scripting (XSS) Güvenlik Açıklığı

CVE: CVE-2020-10630
CVSS v3: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H)
Risk Seviyesi: Yüksek
Ürün: SAE IT-systems FW-50 Remote Telemetry Unit (RTU)
Etkilenen Sürümler: FW-50 RTU, Series: 5 Series; CPU-type: CPU-5B; Hardware Revision: 2; CPLD Revision: 6
Yama Tarihi: 5 Mayıs 2020
Raporlayan: Murat Aydemir
Problem Detayları: SAE IT-systems FW-50 Remote Telemetry Unit (RTU)’ları elektrik dağıtımı, doğalgaz boru hatları, su ve arıtma sistemleri gibi çok sayıda uç lokasyona sahip proseslerde, SCADA (ya da DCS) ile uç lokasyonlar arasındaki endüstriyel haberleşme ve proses kontrolü için kullanılmaktadır. RTU üzerinde bulunan web uygulamasının dinamik olarak ürettiği sayfalar içerisinde bulunan input alanları Cross Site Scripting zafiyetinden etkilenmektedir. Zafiyetin sömürülmesi halinde oturum cookieleri çalınabilir, hedef sunucu üzerinde yetkisiz olarak javascript kodları yorumlatılabilir.
Çözüm/Öneri: Üretici (SAE IT-system) ilgili zafiyetin giderilmesi için CPU kartının değiştirilmesi ve setIT yazılımının güncellenmesini önermektedir. Üreticinin yayımladığı çözüm dökümanına aşağıdaki bağlantıdan ulaşabilirsiniz.
https://www.us-cert.gov/ics/advisories/ICSA2012602
Referanslar: https://www.us-cert.gov/ics/advisories/ICSA2012602

By Murat Aydemir

Systech NDS-5000 Terminal Server Cross Site Scripting (XSS) Güvenlik Açıklığı


CVE: CVE-2020-7006
CVSS v3: 6.8 (AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)
Risk Seviyesi: Yüksek
Ürün: Systech NDS-5000 Terminal Sunucu
Etkilenen Sürümler: NDS-5000 Terminal Server, NDS/5008 (8 Port, RJ45), firmware Version 02D.30
Yama Tarihi: 19 Mart 2020
Raporlayan: Murat Aydemir
Problem Detayları: Systech NDS-5000/NDS-5008 terminal sunucuları kritik altyapılarda endüstriyel protokollerin diğer farklı protokollere dönüştürülmesinde kullanılmaktadır. Terminal sunucu üzerinde bulunan web uygulamansının dinamik olarak ürettiği sayfalar içerisinde bulunan input alanları Cross Site Scripting zafiyetinden etkilenmektedir. Zafiyetin sömürülmesi halinde oturum cookieleri çalınabilir, hedef sunucu üzerinde yetkisiz olarak javascript kodları yorumlatılabilir.
Çözüm/Öneri: Üretici (Systech) ilgili zafiyeti giderek yeni bir firmware sürümü (sürüm 02F.6) yayımlamıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir. Gerekli yama ve zafiyet hakkında detaylar için aşağıdaki bağlantılar kullanılabilir.
https://ww2.systech.com/downloads

Referanslar:
https://www.us-cert.gov/ics/advisories/icsa-20-079-01

By Murat Aydemir

Digi ConnectPort LTS 32 MEI Unrestricted/Arbitrary File Upload Güvenlik Açıkları

CVE: CVE-2020-6973
CVSS v3: 2.4 (AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:L)
Risk Seviyesi: Orta
Ürün: Digi ConnectPort LTS 32 MEI Terminal Sunucu
Etkilenen Sürümler: ConnectPort LTS 32 MEI: firmware Version 1.4.3 (82002228_K 08/09/2018), bios Version 1.2
Yama Tarihi: 8 Kasım 2019
Raporlayan: Murat Aydemir
Problem Detayları: Digi ConnectPort LTS 32 MEI terminal sunucuları kritik altyapılarda endüstriyel protokollerin diğer farklı protokollere dönüştürülmesinde kullanılmaktadır. Terminal sunucu üzerinde bulunan web uygulamansında kullanılan dosya yükleme fonksiyonunun content-type ve extension kontrollerini eksiz/geçersiz yapması, kötü niyetli saldırganların sunucu üzerinde kod çalıştırmalarını sağlayacak zararlı kodları sisteme yüklemesine olanak tanımaktadır.
Çözüm/Öneri: Üretici (Digi) ilgili zafiyeti giderek yeni bir sürüm (ConnectPort LTS Firmware Version 1.4.5) yayımlamıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir. Gerekli yama ve zafiyet hakkında detaylar için aşağıdaki bağlantılar kullanılabilir.

http://ftp1.digi.com/support/firmware/93000660_M1.pdf
http://ftp1.digi.com/support/firmware/93000660_M.txt

Referanslar:
https://www.us-cert.gov/ics/advisories/icsa-20-042-13
https://nvd.nist.gov/vuln/detail/CVE-2020-6973

1 2 3