Yamalanmamış Loytec Bina Otomasyonu Kusurları Keşfedildikten 2 Yıl Sonra Açıklandı

Yamalanmamış 10 Loytec bina otomasyonu ürün güvenlik açığının ayrıntıları, keşfedildikten iki yıl sonra açıklandı.

Endüstriyel siber güvenlik firması TXOne Networks, iki yıldan uzun bir süre önce Avusturyalı Loytec şirketi tarafından üretilen bina otomasyon ürünlerinde araştırmacıları tarafından keşfedilen 10 yamalanmamış güvenlik açığının ayrıntılarını açıkladı.

Güvenlik açıklarına CVE-2023-46380 ile CVE-2023-46389 arasındaki tanımlayıcılar atandı ve bunların ayrıntıları, Kasım ayında Tam Açıklama posta listesinde yayınlanan üç ayrı danışma belgesinde açıklandı.

Güvenlik açıkları, kullanıcı adlarının ve parolaların düz metin olarak iletilmesi veya saklanması, kimlik doğrulama eksikliği, yönetici parolalarının bir kayıt defteri anahtarında açığa çıkması ve diğer potansiyel olarak hassas bilgilerin açığa çıkmasıyla ilgilidir.

TXOne'a göre, güvenlik açıkları çeşitli bina uygulamalarını kontrol etmek için tasarlanmış LINX-212, LINX-151 ve LIOB-586 programlanabilir otomasyon istasyonlarını, LVIS-3ME12-A1 dokunmatik panelleri, LWEB-802 görselleştirme aracını ve L-INX Configurator yapılandırma aracını etkiliyor.

Bazı durumlarda kimlik doğrulaması olmayan bir saldırgan, hedeflenen sistemin kontrolünü ele geçirmek ve bina güvenlik sistemlerini ve alarmlarını devre dışı bırakmak için güvenlik açıklarından yararlanabilir.

Ancak, bazı güvenlik açıklarından yararlanmak, ağa ortadaki adam (MitM) saldırısı veya hedeflenen ürüne yerel erişim gerektirdiğinden daha karmaşıktır.

TXOne Networks araştırma ekibi, bazı açıklamalar yaptı:

CVE-2023-46380, CVE-2023-46382, CVE-2023-46383 ve CVE-2023-46385, hassas verileri okumak için ağda bir MitM konumu gerektirir (düz metin parolası). Öte yandan, CVE-2023-46382 herhangi bir teknik beceri gerektirmez. LWEB-802'nin önceden yüklenmiş sürümünün web kullanıcı arayüzü internete açıksa, herkes ona kolayca erişebilir ve kontrol edebilir. Bazı projelerin internette açık ve erişilebilir olduğunu gördük.
CVE-2023-46387, CVE-2023-46389 için, bir saldırgan yönetici olarak oturum açabildiğinde bu dosyalara kolayca erişilebilir. Bu dosyalar, uyarı ve rapor işlevleri için kullanılan SMTP istemci kimlik bilgilerini içerir.
Yalnızca CVE-2023-46384, LINX Configurator'ın kurulu olduğu makineye yerel erişim gerektirir. Makineye yerel olarak erişebilen herkes parolayı çalabilir.

Güvenlik açıkları ilk olarak Ekim 2021'de Trend Micro'nun Zero Day Initiative (ZDI) aracılığıyla satıcıya bildirildi ve ABD siber güvenlik ajansı CISA bir yıl sonra iletişim kurmaya çalıştı. Ancak Loytec, ZDI ve CISA ile temasa geçtiğinde yanıt vermedi, bu nedenle TXOne bulgularını kamuoyuna açıklamaya karar verdi.