Red Lion Sixnet uzaktan terminal birimi (RTU) ürünlerinde, kimlik doğrulama atlatma ve uzaktan kod yürütme imkanı veren iki kritik güvenlik açığı tespit edildi. CVE-2023-40151 ve CVE-2023-42770 olarak tanımlanan bu zafiyetler, CVSS 10.0 puanıyla en yüksek risk seviyesinde derecelendirildi.
Açıkların Teknik Detayları
Claroty Team 82 araştırmacılarının raporuna göre, bu açıklar Red Lion SixTRAK ve VersaTRAK RTU modellerini etkiliyor. İlk zafiyet (CVE-2023-42770), aynı port üzerinden UDP ve TCP protokollerinin dinlenmesi sırasında kimlik doğrulama mekanizmasının atlatılmasına olanak sağlıyor. UDP üzerinden kimlik doğrulaması yapılırken, TCP üzerinden gelen mesajlar doğrulama olmadan kabul ediliyor.
İkinci açık (CVE-2023-40151) ise Sixnet Universal Driver (UDR) bileşeninde bulunuyor ve Linux shell komutlarını root ayrıcalıklarıyla çalıştırma imkanı veriyor. Bu iki açığın zincirlenmesi durumunda, saldırganlar kimlik doğrulamasını tamamen aşarak uzaktan kod yürütme gerçekleştirebiliyor.
Endüstriyel Otomasyonda Kritik Risk
Red Lion RTU’lar enerji, su arıtma, ulaşım ve üretim gibi kritik altyapılarda yaygın şekilde kullanılıyor. Bu cihazlar, Sixnet IO Tool Kit aracı ve özel Sixnet “Universal” protokolü üzerinden yapılandırılıyor. UDP tabanlı dosya yönetimi ve sistem bilgisi alma işlemleri için kullanıcı izin sistemi bulunmasına rağmen, açıklar bu korumaları etkisiz hale getiriyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bildirilen etkilenen ürünler arasında ST-IPm-8460, ST-IPm-6350, VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D ve VT-IPm2m-113-D modelleri yer alıyor.
Önerilen Önlemler
Kullanıcıların, Red Lion tarafından sağlanan yamaları acilen uygulaması, RTU’larda kullanıcı kimlik doğrulamasını etkinleştirmesi ve TCP üzerinden erişimi sınırlandırması tavsiye ediliyor. Bu önlemler, saldırganların root seviyesinde komut çalıştırmasını engellemek için kritik önem taşıyor.