?>

Kaspersky, CODESYS'in geliştirdiği sistemdeki açıkların kapatılmasını sağladı

- Kaspersky ICS CERT Güvenlik Araştırmacısı Alexander Nochvay: - "Bahsi geçen yazılımın ne kadar yaygın kullanıldığı düşünüldüğünde, duruma hızlı müdahale eden ve sorunları çözen geliştiriciye teşekkür ediyoruz. "

Genel - 5 yıl önce

Kaspersky araştırmacıları, programlanabilir mantık denetleyicileri (PLC) ve insan makine arayüzü (HMI) gibi endüstriyel cihazlar geliştirmek için kullanılan popüler bir sistemde çok sayıda açık keşfederken, söz konusu açık hazırlanan rapor ile kapatıldı.

Kaspersky'den yapılan açıklamaya göre, Kaspersky araştırmacıları, PLC programlarını geliştirmek ve denetlemek için tasarlanan güçlü ve gelişmiş bir aracı inceledi. Sonuçta olarak da sistemin ana ağ protokolü ve çalışma zamanında bir düzineden fazla güvenlik sorunu tespit edildi.

Bu açıklar saldırganlara ağdaki varlıklarını gizleyerek, ağ komutları ve ölçüm verileri akışlarına müdahale etme, parola ve diğer kimlik doğrulama bilgilerini çalıp yeniden kullanma, çalışma zamanına zararlı kod yerleştirerek sistemdeki yetkilerini artırma ve yetkisiz daha birçok şey yapma olanağı tanıyordu.

Pratikte bu durum, saldırganın operasyon teknolojileri personelinin farkında olmadan belirli bir tesisteki PLC'lerin işlevini bozabileceği veya kontrolünü tamamen ele alabileceği anlamına geliyor. Bu da saldırganlara, çalışmaları aksatma veya fikri mülkiyetler, fabrika üretim kapasiteleri veya üretimdeki yeni ürünler gibi hassas verileri çalma fırsatı sunuyordu. Bunlara ek olarak tesisteki çalışmaların izlenmesi ve saldırıya uğrayan kurum için hassas olabilecek diğer bilgilerin toplanması da mümkün oluyordu.

Kaspersky, CODESYS tarafından geliştirilen sistemin yazılımında keşfettiği bu sorunları ilgili markaya iletti. Böylece raporlanan açıkların tamamı kapatılırken, yamalar sistem kullanıcılarına sunuldu.

Kaspersky uzmanları, raporlanan açıklardan yararlanılmasıyla oluşabilecek potansiyel risklerin ortadan kalkması için şu önlemlerin alınması tavsiyesinde bulundu:

"Sistemi kullanan geliştiriciler güncel sürümü istemeli ve bu sistemin yardımıyla oluşturulan araçların aygıt yazılımlarını da güncellemeli. Bu sistemin yardımıyla oluşturulan cihazlar varsa ve cihazı geliştirenler ürünleri için ilgili bir güncelleme yayınladıysa endüstri mühendisleri kurumlarının yama yönetimi prosedürlerine uygun bir şekilde cihazların yazılımlarını güncellemeli. Geliştirme ortamları ve/veya SCADA'lardaki cihazlara gerekli koruma önlemleri alınmalı. Endüstriyel ortamlarda kullanılan cihazlar, izole edilmiş ve kısıtlı bir ağda çalışmalı. Yazılım güncellemeleri yapılana kadar, endüstriyel ağları korumakla görevli güvenlik ekipleri; hedefli saldırı tespit çözümleri, endüstriyel ağ izleme, BT ve OT ekiplerine güvenlik eğitimleri ve karşmaşık tehditlere karşı koruma sağlayan diğer önlemleri almalı."

- "Kaspersky, CODESYS'i daha da güvenli hale getirmemize yardımcı oldu"

Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Güvenlik Araştırmacısı Alexander Nochvay, keşfettikleri açıkların potansiyel zararlı faaliyetler için son derece geniş bir alan sunduğunu belirterek, şunları kaydetti:

"Bahsi geçen yazılımın ne kadar yaygın kullanıldığı düşünüldüğünde, duruma hızlı müdahale eden ve sorunları çözen geliştiriciye teşekkür ediyoruz. Bu araştırma ile saldırganların işini daha da zorlaştırdığımıza inanıyoruz. Ancak güvenlik topluluğu, ağ iletişim protokolünün geliştirilme sürecine daha önceden dahil olabilseydi bu açıklar daha önceden tespit edilebilirdi. Endüstriyel sistemler için donanım ve yazılım bileşenleri geliştirenlerin güvenlik topluluğuyla birlikte çalışmayı bir alışkanlık haline getirmesi gerektiğine inanıyoruz. Bu durum, özellikle de modern otomasyon teknolojilerini temel alan Endüstri 4.0'a geçiş yaptığımız bu dönemde büyük önem taşıyor."

CODESYS Ürün Pazarlama Müdürü Roland Wagner ise CODESYS Group için ürün güvenliği son derece önemli olduğunu vurguladı.

Kaspersky'nin kapsamlı araştırma sonuçları, CODESYS'i daha da güvenli hale getirmelerine yardımcı olduğunu ifade eden Wagner, "CODESYS'in güvenlik özelliklerini geliştirmek için teknik ve idari çalışmalara uzun yıllardır önemli yatırımlar yapıyoruz. Tespit edilen tüm açıklar anında incelendi, değerlendirildi, ilk öncelik haline getirildi ve güvenlik raporunda yayınlandı. Açıkları kapatan yazılım güncellemeleri hızla geliştirildi ve CODESYS Store üzerinden tüm CODESYS kullanıcılarına sunuldu." değerlendirmelerini yaptı.

Kaynak: AA

dikGAZETE.com

Haftanın Öne Çıkanları

Kılıçdaroğlu'ndan 'Tarık Akan' paylaşımı

2019-09-16 20:12 - Siyaset

Dr. Burak Yalçın: Kırık olsa kolunu kullanamazdı' inanışı yanlış

2019-09-17 18:29 - Sağlık

'TÜBİTAK Efficiency Challenge Elektrikli Araç Yarışları'nda dereceye girenler belli oldu

2019-09-19 19:57 - Teknoloji

Rus TV Genel Müdürü: Türk dizileri olmadan yapamayız, fakat yeni Türk dizleri de bekliyoruz

2019-09-13 18:20 - Özel Haber

Bakü Fatihi Nuri Paşa

2019-09-15 15:02 - Dünya

'Pitbull' besleyen kişiye 23 bin 406 lira ceza

2019-09-17 21:47 - Gündem

Endonezya ve Malezya'daki orman yangınlarından 40 milyon kişi etkilendi

2019-09-20 14:17 - Dünya

Kentsel dönüşüm 100 bin kişiye istihdam sağlayacak

2019-09-14 14:52 - Ekonomi

Roma ligde 4 golle kazandı

2019-09-16 00:57 - Spor

'Dananın kuyruğunu koparan' lezzet: Pöç

2019-09-17 14:37 - Kültür Sanat

İlgili Haberler

Çevre, Şehircilik ve İklim Değişikliği Bakanlığı 'Yarısı Bizden' kampanyasıyla ilgili soruları cevapladı

20:30 - Genel

Günün Manşetleri

Fenerbahçe, Kayseri'de farklı kazandı

18:32 - Spor

Manisa'da hemzemin geçitte trenin çarptığı otomobilin sürücüsü yaralandı

18:27 - Gündem

Gaziantep FK, sahasında RAMS Başakşehir'i 3 golle geçti

18:18 - Spor

TBMM Başkanı Kurtulmuş, "İsmet Uçma'yı Anma Programı"nda konuştu

18:08 - Siyaset

Jandarma Genel Komutanlığından "GÖKBEY" paylaşımı

17:48 - Gündem