Rockwell Automation FactoryTalk AssetCentre'daki Kritik Güvenlik Açıkları
Endüstriyel kontrol sistemlerinde kritik bir bileşen olan Rockwell Automation'ın FactoryTalk AssetCentre'ı, yakın zamanda üretim ve enerji sektörlerinde operasyonel güvenliği toplu olarak tehdit eden üç önemli güvenlik açığıyla (CVE-2025-0477, CVE-2025-0497 ve CVE-2025-0498) karşı karşıya kaldı. Bu kusurlar kimlik bilgisi hırsızlığına, sistem kimliğine bürünmeye ve hassas endüstriyel ağlara yetkisiz erişime olanak sağlıyor.
CVE-2025-0477: Zayıf Şifreleme Güvenlik Açığı (CVSS 9.8)
Teknik Genel Bakış
Bu kritik güvenlik açığı, saldırganların hatalı şifreleme uygulaması nedeniyle FactoryTalk AssetCentre v15.00.01'den önceki sürümlerde depolanan kimlik bilgilerini şifresini çözmesine olanak tanır . Bu zayıflık, uygulamanın veritabanında parola depolaması için eski kriptografik standartların kullanılmasından kaynaklanır .Örnek Saldırı Senaryosu
Geçici veritabanı erişimine sahip bir bakım yüklenicisi, tabloyu dışa aktarmak için SQL enjeksiyon tekniklerini kullanır. Açık kaynaklı şifre çözme araçlarını kullanarak, PLC programlama arayüzlerini kontrol eden yönetim hesapları da dahil olmak üzere karma şifrelerin %68'ini 4 saat içinde kırarlar. Saldırgan daha sonra tehlikeye atılmış mühendislik iş istasyonları aracılığıyla 14 üretim hattına fidye yazılımı dağıtır.UserCredentialsAzaltma Gereksinimleri
- AES-256-GCM şifreleme uygulamasıyla v15.00.01'e derhal yükseltme
- Veritabanına erişim kısıtlaması <5 yetkili personele yöneliktir
- Ocak 2025 Yama Toplamasıyla (V11-V13 sistemleri) eski sistem yamaları
CVE-2025-0497: Yapılandırma Dosyası Açığa Çıkarma (CVSS 7.3)
Teknik Arıza
Kimlik bilgileri aşağıdakiler için yapılandırma dosyalarında korumasız kalır:
- OlayGünlüğüEkAyrıştırıcısı
- ArchiveExtractor yardımcı programları
- LogCleanUp hizmetleri
Operasyonel Etki Senaryosu
Temel kullanıcı ayrıcalıklarına sahip enfekte bir HVAC yüklenici dizüstü bilgisayarı, alarm bildirimleri için kullanılan SMTP kimlik bilgilerini toplayarak erişim sağlar. Saldırganlar, teknisyenler yanıt vermeden önce anormal basınç okumaları hakkında 2.300'den fazla sistem uyarısını yakalayarak e-posta ağ geçidi ihlali yoluyla kalıcı erişim sağlar.C:\ProgramData\RA\FTAC\config.xmlÇözüm Adımları
- Düzeltme sonrası dosyalardan düz metin kimlik bilgilerini silin
*.config - Hizmet hesapları için DENY izinleriyle dosya sistemi ACL'lerini uygulayın
- Azaltma işleminden sonra tüm SMTP/SCADA kimlik bilgilerini döndürün
CVE-2025-0498: Güvenlik Belirteci Tehlikesi (CVSS 7.8)
Mimari Kusur
FactoryTalk Güvenlik belirteçleri, uygun izolasyon olmadan bellek dökümlerinde saklanıyor ve belirteç tekrarlama saldırıları aracılığıyla ayrıcalık yükseltmeye olanak sağlıyor .Sahtecilik Saldırısı Örneği
Gece vardiyasında, saldırganlar özel olarak hazırlanmış OPC UA isteklerini kullanarak bir HMI panelinde BSOD tetikler. Ortaya çıkan çökme dökümü, saldırganların şunları yapmak için kullandığı geçerli güvenlik belirteçlerini içerir:
- Historian veritabanlarındaki toplu tarifleri değiştirin
- Reaktör kaplarındaki güvenlik kilitlerini devre dışı bırakın
- Ekipman aşınmasını gizlemek için dövme bakım günlükleri tutun
Kontrol Önlemleri
- v15.00.01'de kaynak IP/MAC adreslerine token bağlama
- ICS iş istasyonlarında fiziksel USB bağlantı noktasının devre dışı bırakılması
- Windows ana bilgisayarlarında Kimlik Bilgisi Koruması aracılığıyla bellek koruması
Çapraz Güvenlik Savunma Stratejisi
Kontrol CVE-0477 CVE-0497 CVE-0498 Yama Gecikmesi <24 saat Kritik <72 saat Yüksek <48 saat Yüksek Ağ Segmentasyonu VLAN 10 Yalıtımı Alt ağ 192.168.5.0/24 DMZ Dışlama İzleme Odaklı Veritabanı Sorgu Modelleri Dosya Bütünlüğü Değişiklikleri Token Kullanım Anomalileri
| Kontrol | CVE-0477 | CVE-0497 | CVE-0498 |
|---|---|---|---|
| Yama Gecikmesi | <24 saat Kritik | <72 saat Yüksek | <48 saat Yüksek |
| Ağ Segmentasyonu | VLAN 10 Yalıtımı | Alt ağ 192.168.5.0/24 | DMZ Dışlama |
| İzleme Odaklı | Veritabanı Sorgu Modelleri | Dosya Bütünlüğü Değişiklikleri | Token Kullanım Anomalileri |
Endüstriyel operatörler, özellikle MODBUS/TCP ve PROFINET ağlarıyla arayüz oluşturan sistemler için 72 saatlik SLA pencereleri içinde FactoryTalk AssetCentre v15.00.01'e güncellemeyi önceliklendirmelidir. Rockwell'in Ocak 2025 yamaları, kimlik bilgisi işlemede iyileştirmeler göstermektedir ancak yanal hareketi önlemek için eş zamanlı fiziksel erişim kontrolleri ve ağ segmentasyonu gerektirir.