180.000 ICS/OT Cihazının Küresel Olarak Maruz Kalması Güvenlik Endişelerini Artırıyor

Siber güvenlik şirketi Bitsight, halka açık internette savunmasız bırakılan kritik sistemlerin sayısındaki hızlı artış konusunda önemli bir uyarı yayınladı. Endüstriyel Kontrol Sistemleri ve Operasyonel Teknoloji ( ICS/OT ) olarak adlandırılan bu cihazlar, temelde elektrik şebekeleri ve üretim tesisleri gibi fiziksel süreçleri çalıştıran bilgisayarlardır.

Bu cihazlara kolayca erişilebilmesi amaçlanmasa da Bitsight, 2024 yılı boyunca maruz kalma oranlarında endişe verici bir artış olduğunu tespit etti ve bulgularını Hackread.com ile paylaştı.

Bitsight'ın "ICS/OT'nin Affedilemez Açığa Çıkarılması" raporuna göre, küresel açığa çıkma 2024 yılında yaklaşık %12 arttı. Açığa çıkan cihazların aylık sayısı yaklaşık 160.000'den devasa bir sayı olan 180.000 benzersiz IP adresine yükseldi. Mevcut eğilim devam ederse, açığa çıkan kritik sistem sayısı bir yıldan kısa sürede 200.000'i aşabilir.

Tipik veri ihlallerinin aksine, açık ICS/OT sistemlerine yönelik başarılı bir saldırının doğrudan, gerçek dünyada sonuçları olur ve kamu güvenliğini ve sürekliliğini riske atar. Raporda, riskin "teorik olmadığı" ve olası sonuçların pompaların durması, ışıkların titremesi veya ısıtmanın kapanması olduğu vurgulanıyor.

Riski daha da artıran bir diğer unsur ise, bu cihazların çoğunun Modbus ve S7 gibi korumasız endüstriyel protokoller çalıştırıyor olması ve bunların çoğunun hala fabrika varsayılan ayarlarını kullanıyor olmasıdır. Tehlike, birçok açık sistemin, "basit istismar yolları" içeren son derece ciddi CVSS 10.0 kusurları da dahil olmak üzere bilinen güvenlik açıkları içermesidir.

Örneğin, bu yılın başlarında endüstriyel tedarikçi Moxa, OT yönlendiricilerinde kritik bir komut enjeksiyonu açığını (CVE-2024-9140) yamaladı . Bu, kimliği doğrulanmamış uzak saldırganların cihaz üzerinde tam kontrol elde etmesine olanak tanıyabilirdi. CISA verileri, bu sistemlerdeki kamuya açık olarak belgelenen güvenlik açıklarının yaklaşık %30'unun herhangi bir yama veya güncellemeye sahip olmadığını gösteriyor.

Raporda , "Bu, açık bir eğilimi işaret ediyor: ICS/OT ekosistemi modernleşmeye devam ettikçe, eski yazılımların tüm güvenlik borcunu ve ayrıca fiziksel güvenlik üzerindeki etki potansiyelini de devralıyor" ifadeleri yer alıyor.

Bitsight raporu, tehdit aktörlerinin bu savunmasız saldırı yüzeyini aktif olarak hedef aldığını ortaya koyuyor. Sadece 2024 yılında, endüstriyel iletişim kuralları veya protokolleri kullanarak "cihazları hedef alıp devre dışı bırakmak" için özel olarak tasarlanmış FrostyGoop ve Fuxnet adlı iki yeni özel kötü amaçlı yazılım türü keşfedildi.

Küresel olarak, maruziyet eşitsiz bir şekilde dağılmıştır; ABD, maruz kalınan cihaz sayısı bakımından en yüksek ülke olsa da (yaklaşık 80.000), bazı ülkeler orantısız bir şekilde daha yüksek riskle karşı karşıyadır. Özellikle İtalya ve İspanya, maruziyetin şirket sayısı veya toplam nüfusla karşılaştırılması durumunda en yüksek oranları göstermektedir.

Bu bulgular, Ağustos 2024 tarihli ayrı bir Censys raporunun yalnızca ABD'de 40.000'den fazla açıkta kalan ICS cihazı olduğunu ve su ve atık su arayüzlerinin neredeyse yarısının kimlik doğrulaması yapılmadan manipülasyona açık olduğunu göstermesi gibi daha önceki uyarıları destekliyor.

Bu durum, yakıt dağıtım altyapısı, bina kontrolleri ve su arıtma tesisleri gibi kritik sistemleri etkiliyor. Bitsight, bunu "affedilemez bir ifşa" olarak nitelendiriyor ve cihaz üreticilerini, internet servis sağlayıcılarını (İSS'ler) ve sistem operatörlerini, genel erişimi kaldırmak, ağlarını sürekli izlemek ve en başından itibaren güvenli ayarları uygulamak için acilen harekete geçmeye çağırıyor.