Getty Resimleri
Güneş enerjisi çiftliklerindeki İnternet’e açık yüzlerce cihaz, uzaktaki saldırganların operasyonları kesintiye uğratmasını veya tesisler içinde bir yer edinmesini kolaylaştıran kritik ve aktif olarak istismar edilen bir güvenlik açığına karşı yamasız durumda.
Japonya merkezli Osaka, Contec tarafından SolarView markası altında satılan cihazlar, güneş enerjisi tesislerindeki insanların ürettikleri, depoladıkları ve dağıttıkları güç miktarını izlemelerine yardımcı oluyor. Contec, yaklaşık 30.000 elektrik santralinin, operasyonun boyutuna ve kullandığı ekipmanın türüne göre çeşitli paketlerde gelen cihazları piyasaya sürdüğünü söylüyor.
Shodan’da yapılan aramalar, bunların 600’den fazlasının açık İnternet’te erişilebilir olduğunu gösteriyor. Güvenlik firması VulnCheck’ten araştırmacılar Çarşamba günü, bu yapılandırma kadar sorunlu olsa da, bunların üçte ikisinden fazlasının, önem derecesi 9,8 olan bir güvenlik açığı için izleme ataması olan CVE-2022-29303’ü yamalayan bir güncellemeyi henüz yüklemediğini söyledi. 10. Kusur, kullanıcı tarafından sağlanan girdide yer alan potansiyel olarak kötü amaçlı öğelerin etkisiz hale getirilememesinden kaynaklanır ve kötü niyetli komutları yürüten uzaktan saldırılara yol açar.
Güvenlik firması Palo Alto Networks geçen ay kusurun, yönlendiriciler ve diğer sözde Nesnelerin İnterneti cihazlarından oluşan açık kaynaklı bir botnet olan Mirai operatörü tarafından aktif olarak kullanıldığını söyledi. Bu cihazların güvenliğinin aşılması, onları kullanan tesislerin operasyonlarına ilişkin görünürlüğünü kaybetmesine neden olabilir ve bu da savunmasız cihazların nerede kullanıldığına bağlı olarak ciddi sonuçlara yol açabilir.
VulnCheck araştırmacısı Jacob Baines, “Bu sistemlerin birçoğunun İnternet’e dönük olması ve kamuya açık istismarların bir Mirai varyantına dönüştürülecek kadar uzun süredir mevcut olması iyi bir durum değil” diye yazdı. “Her zaman olduğu gibi, kuruluşlar hangi sistemlerin kendi genel IP alanlarında göründüğüne dikkat etmeli ve güvendikleri sistemler için genel istismarları takip etmelidir.”
Baines, CVE-2022-29303’e karşı savunmasız olan aynı cihazların, yine 9,8 önem derecesi olan daha yeni bir komut yerleştirme güvenlik açığı olan CVE-2023-23333’e karşı da savunmasız olduğunu söyledi. Aktif olarak istismar edildiğine dair bilinen bir rapor olmamasına rağmen, istismar kodu Şubat ayından bu yana halka açık durumda.
Baines, her iki güvenlik açığı için yanlış açıklamaların yama hatalarında yer alan faktörlerden biri olduğunu söyledi. Her iki güvenlik açığı da SolarView 8.00 ve 8.10 sürümlerinin CVE-2022-29303 ve CVE-2023-293333’e karşı yamalandığını gösteriyor. Aslında araştırmacı, tehditlere karşı yalnızca 8.10’un yamalandığını söyledi.
Palo Alto Networks, CVE-2022-29303 için açıktan yararlanma etkinliğinin, bir Marai değişkenini yaymak amacıyla bir dizi IoT cihazındaki 22 güvenlik açığından yararlanan geniş bir kampanyanın parçası olduğunu söyledi. Saldırılar Mart ayında başladı ve cihazların uzaktan kontrol edilmesine izin veren bir kabuk arayüzü kurmak için istismarları kullanmaya çalıştı. İstismar edildikten sonra, bir cihaz çeşitli Linux mimarileri için yazılmış bot istemcilerini indirir ve yürütür.
Güvenlik açığının muhtemelen daha önce hedeflendiğine dair göstergeler var. İstismar kodu Mayıs 2022’den beri mevcut. Aynı aya ait bu video, bir saldırganın Shodan’da savunmasız bir SolarView sistemi aradığını ve ardından açıktan yararlanmayı ona karşı kullandığını gösteriyor.
Saldırganların CVE-2023-23333’ü aktif olarak istismar ettiğine dair bir gösterge olmasa da GitHub’da birden fazla istismar var.
Contec web sitesinde her iki güvenlik açığı hakkında bir kılavuz yoktur ve şirket temsilcileri e-postayla gönderilen soruları hemen yanıtlamamıştır. Etkilenen cihazlardan birini kullanan herhangi bir kuruluş mümkün olan en kısa sürede güncelleme yapmalıdır. Kuruluşlar ayrıca cihazlarının İnternet’e açık olup olmadığını kontrol etmeli ve eğer öyleyse, cihazların yalnızca dahili ağlarda erişilebilir olduğundan emin olmak için yapılandırmalarını değiştirmelidir.
