Honeywell cihazlarındaki güvenlik kusurları, kritik sektörleri bozmak için kullanılabilir

Güvenlik araştırmacıları, çok sayıda güvenlik açığı keşfetti. bal kuyusu Kritik endüstrilerde kullanılan ve istismar edildiğinde bilgisayar korsanlarının fiziksel kesintiye neden olmasına ve potansiyel olarak insan yaşamının güvenliğini etkilemesine olanak tanıyan cihazlar.

Varlık güvenliği konusunda uzmanlaşmış bir siber güvenlik şirketi olan Armis’teki araştırmacılar, Honeywell’in Experion dağıtılmış kontrol sistemi (DCS) ürünlerinde dokuz güvenlik açığı ortaya çıkardı. Bunlar, yüksek kullanılabilirliğin ve sürekli operasyonların kritik olduğu enerji ve ilaç gibi kritik sektörlerdeki büyük endüstriyel süreçleri kontrol etmek için kullanılan dijital otomatik endüstriyel kontrol sistemleridir.

bu güvenlik açıklarıArmis’e göre yedi tanesine kritik önem derecesi verilmiş olan . Bir saldırganın, dizüstü bilgisayardan satış makinesine kadar bir ağ içindeki bir aygıtı ele geçirerek elde edilebilecek kusurlardan yararlanmak için ağ erişimine ihtiyacı olacaktır. Bununla birlikte, hatalar kimliği doğrulanmamış erişime izin verir; bu, bir saldırganın onu kullanmak için denetleyicide oturum açması gerekmediği anlamına gelir.

Aktif istismara dair bir kanıt bulunmamakla birlikte Armis, TechCrunch’a bilgisayar korsanlarının bu kusurları cihazları ele geçirmek ve DCS denetleyicisinin çalışmasını değiştirmek için kullanabileceğini söylüyor.

“İş açısından düşünebileceğiniz daha kötü durum senaryoları, tam kesintiler ve kullanılabilirlik eksikliğidir. Ancak insan hayatını etkileyebilecek güvenlik sorunları da dahil olmak üzere bundan daha kötü senaryolar var, ”dedi Armis’in CISO’su Curtis Simpson, TechCrunch’a.

Simpson, hataların doğası gereği bir saldırganın bu değişiklikleri DCS denetleyicisini yöneten mühendislik iş istasyonundan gizleyebileceği anlamına geldiğini söyledi. “Tesisten gelen bilgileri kontrol eden tüm ekranlara sahip bir operatörünüz olduğunu hayal edin, bu ortamda her şey yolunda,” diye ekledi. “Tesisin alt kısmına gelince, esasen her şey yanıyor.”

Armis, bunun Honeywell DCS sistemlerinin çalıştığı petrol ve gaz madenciliği endüstrisi için özellikle sorunlu olduğunu söylüyor. Honeywell’in müşterileri arasında enerji devi Shell, Savunma Bakanlığı ve NASA dahil olmak üzere ABD devlet kurumları ve araştırmaya dayalı biyofarmasötik şirketi bulunmaktadır. AstraZenecaHoneywell’in web sitesine göre.

Simpson, “Kritik altyapıyı bozabilirseniz, bir ülkenin birçok farklı şekilde faaliyet gösterme yeteneğini bozabilirsiniz” dedi. “Bundan kurtulmak da bir kabus olur. Bu tür saldırıların yaygınlığına ve bu ekosistem hakkında siber farkındalık eksikliğine bakarsanız, kuruluşların yeniden inşası saatte milyonlarca dolara mal olabilir.”

Armis, TechCrunch’a Honeywell’i Mayıs ayında Honeywell Experion Process Knowledge System, LX ve PlantCruise platformları ve C300 DCS Controller dahil olmak üzere bir dizi DCS platformunu etkileyen güvenlik açıkları konusunda uyardığını söyledi. Honeywell, yamaları bir sonraki ay kullanıma sundu ve etkilenen tüm kuruluşları derhal bunları uygulamaya çağırıyor.

Yorum için kendilerine ulaşıldığında, Honeywell sözcüsü Caitlin E. Leopold şunları söyledi: “Bu konuda ARMIS ile sorumlu bir ifşa sürecinin parçası olarak çalışıyoruz. Güvenlik açığını gidermek için yamalar yayınladık ve etkilenen müşterileri bilgilendirdik. Şu anda bu güvenlik açığının bilinen bir istismarı yok. Experion C300 sahipleri, süreç kontrol ağlarını izole etmeye ve izlemeye devam etmeli ve mümkün olan en kısa sürede mevcut yamaları uygulamalıdır.”