Siber güvenlik araştırmacıları en az 200 satıcı tarafından üretilen ve üretim tesisleri, enerji üretimi, su arıtma ve kritik altyapı sektörlerinde kullanılan milyonlarca Operasyonel Teknoloji (OT) cihazlarında kullanılan yaygın olarak kullanılan TCP/IP protokolünü etkileyen 14 güvenlik açığını açıkladı.
Genel olarak “INFRA:HALT” olarak adlandırılan eksiklikler, NicheStack’i hedef alarak bir saldırganın uzaktan kod yürütme, hizmet kesintisi, bilgi sızıntısı, TCP sahtekarlığı ve hatta DNS önbellek zehirlenmesi gerçekleştirmesine olanak tanır.
NicheStack (aka InterNiche), işletim sistemleri için kapalı kaynaklı bir IPv4 ağ katmanı ve uygulama uygulamasıdır ve Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation ve Schneider Electric, programlanabilir logic denetleyicilerinde (PLC’ler) ve diğer ürünlerinde kullanılmaktadır.
Araştırmacılar yayınlanan ortak bir raporda , “Saldırganlar bir binanın HVAC sistemini bozabilir veya üretimde ve diğer kritik altyapılarda kullanılan kontrolörleri ele geçirebilir, OT ve ICS cihazlarının devre dışı bırakılmasına ve ele geçirilmesine neden olabilir. Ele geçirilen cihazlar, ağ üzerinde iletişim kurdukları yerlere kötü amaçlı yazılım yayabilir.” dendi.
NicheStack’in sürüm 4.3’ten önceki tüm sürümleri, Kanada, ABD, İspanya, İsveç ve İtalya’da bulunan yaklaşık 6.400 OT cihazının Mart 2021 itibarıyla açık ve internete bağlı olmasıyla INFRA:HALT’a karşı savunmasız durumda olduğu belirtiliyor.
Tepit edilen zafiyetler aşağıdaki gibi
- CVE-2020-25928 (CVSS score: 9.8) – An out-of-bounds read/write when parsing DNS responses, leading to remote code execution
- CVE-2021-31226 (CVSS score: 9.1) – A heap buffer overflow flaw when parsing HTTP post requests, leading to remote code execution
- CVE-2020-25927 (CVSS score: 8.2) – An out-of-bounds read when parsing DNS responses, leading to denial-of-service
- CVE-2020-25767 (CVSS score: 7.5) – An out-of-bounds read when parsing DNS domain names, leading to denial-of-service and information disclosure
- CVE-2021-31227 (CVSS score: 7.5) – A heap buffer overflow flaw when parsing HTTP post requests, leading to denial-of-service
- CVE-2021-31400 (CVSS score: 7.5) – An infinite loop scenario in the TCP out of band urgent data processing function, causing a denial-of-service
- CVE-2021-31401 (CVSS score: 7.5) – An integer overflow flaw in the TCP header processing code
- CVE-2020-35683 (CVSS score: 7.5) – An out-of-bounds read when parsing ICMP packets, leading to denial-of-service
- CVE-2020-35684 (CVSS score: 7.5) – An out-of-bounds read when parsing TCP packets, leading to denial-of-service
- CVE-2020-35685 (CVSS score: 7.5) – Predictable initial sequence numbers (ISNs) in TCP connections, leading to TCP spoofing
- CVE-2021-27565 (CVSS score: 7.5) – A denial-of-service condition upon receiving an unknown HTTP request
- CVE-2021-36762 (CVSS score: 7.5) – An out-of-bounds read in the TFTP packet processing function, leading to denial-of-service
- CVE-2020-25926 (CVSS score: 4.0) – The DNS client does not set sufficiently random transaction IDs, causing cache poisoning
- CVE-2021-31228 (CVSS score: 4.0) – The source port of DNS queries can be predicted to send forged DNS response packets, causing cache poisoning
Zafiyetler ile ilgili güncellemeler yayınlanmış olsa da bu güncellemelerin uygulanması zaman alabileceği belirtiliyor. Güncellemeler yapılana kadar önerilen mitigate önerileri aşağıdaki gibidir.
Forescout, NicheStack çalıştıran cihazları algılamak için açık kaynaklı bir komut dosyası yayınladı. Ayrıca, savunmasız cihazlardan kaynaklanan riski azaltmak için segmentasyon kontrollerini zorlamanız, tüm ağ trafiğini kötü amaçlı paketler için izlemeniz öneriliyor.
Kaynak: thehackernews.com