. İşte detaylar…
Güvenlik yazılımları şirketi Kaspersky Lab ICS CERT, sunucular ile kritik altyapılar gibi endüstriyel sistemlerdeki istemciler arasında güvenli veri transferi için tasarlanan OPC UA (Object Linking and Embedding for Process Control Unified Automation) protokolünü analiz etti. Analizlerde protokolün uygulanmasında 17 adet sıfır-gün açığı tespit edildi.
Bu açıklar hizmet engelleme (Denial of Service) ve uzaktan kod çalıştırma saldırılarına yol açabiliyor. Ayrıca, bu protokol üzerine kurulu ticari ürünlerde de çok sayıda açık bulundu. Tüm açıklar geliştiricilere bildirildi ve Mart 2018 sonuna kadar kapatıldı.
OPC UA, endüstriyel bir ağdaki çok sayıda sistem arasında sağlam ve güvenli veri iletimi sağlamak için 2006 yılında OPC Foundation tarafından geliştirilip kullanıma sunulan bir endüstriyel protokol. Bu protokol üretim, petrol ve gaz, ilaç ve başka sektörlerde faaliyet gösteren büyük markalar tarafından endüstriyel tesislerde sıkça kullanılıyor. Protokolün ağ geçitleri; otomatik süreç kontrolü ve uzaktan ölçümde iletişim, takip ve uzaktan denetim sistemleri için her geçen gün artan sayıda endüstriyel kurum tarafından kullanılıyor. Böylece bu kurumlar yönetim süreçlerini birleştirebiliyor. Protokol ayrıca, siber saldırganların dikkatini çeken Endüstriyel IoT ve akıllı şehir bileşenlerinde de kullanılıyor.
Kaspersky Lab ICS CERT uzmanları OPC UA mimarisini ve ürünlerini analiz etti. Örnek bir sunucuyla birlikte protokolün açık kaynaklı kodlarını (GitHub’da bulunabilir) inceleyen uzmanlar, mevcut uygulamanın kod tasarımında ve yazımında hatalar buldu. Bu hatalar, bu kadar yaygın kullanılan bir kritik altyapı yazılımında bulunmaması gereken türde hatalardı. OPC Foundation ürünlerinde toplamda 17 adet sıfır-gün açığı belirlendi ve geliştiricilere bildirildi. Geliştiriciler de ardından bu açıkları kapattı.
