ASP Otomasyon A.Ş.
Adres: Barbaros Mh. Başkan Sk. No: 14/2 Üsküdar - İstanbul
Telefon: +90 (216) 342 3206
Telefon: +90 (216) 342 3355
E-mail: [email protected]
İletişim Formu

İletişim Formu
Lütfen bekleyiniz.. E-posta adresi hatalı. * işaretli alanlar boş bırakılamaz. Formunuz başarılı bir şekilde gönderilmiştir. Hata oluştu lütfen tekrar deneyiniz.

OpenSSL Güvenlik Açığı (KEPServerEX 5.21)

KEPServerEX OPC UA Server ya da OPC UA Client sürücüsü kullanan müşteriler OpenSSL de görülen ve KEPServerEX 5.20.396 ve önceki sürümleri etkileyen güvelik açığından haberdar olmalıdır. OPC UA sunucu ay da OPC UA Client sürücüsü kullanmayan müşteriler bu yazıyı dikkate almayabilir.

 

OpenSSL iletişimi korumak için birçok OPC UA uygulaması tarafından kullanılan bir açık kaynak kütüphanedir. KEPServerEX OPC UA sunucu ve OPC UA Client sürücü ile olan iletişimi korumak için OpenSSL kullanır. OpenSSL'de görülen sistem açıkları, KEPServerEX ve bir UA uygulaması arasındaki veriyi uzaktan saldırılarla engellemek ya da değiştirmek şeklinde ilgili tüm programları etkileyebilir.

 

Aşağıdaki link OpenSSL'deki sorunu belgelemektedir:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107

 

Bu güvenlik açığı 1.0.1t ve 1.0.2h'dan önceki 1.0.2'den önce OpenSSL'deki AES-NI uygulamasına dayanmaktadır. Bu sürümler padding check sırasındaki AES CBC oturumuna karşı yapılan padding-oracle saldırılarıyla açık metin bilgilerinin alınmasına izin verebilen bellek ayırma işlemini göz önüne almıyor. Bu da önemli bilgilere izinsiz erişime sebep olabiliyor.

 

OPC UA sunucusunun erişilebilirliği arttıkça uzaktan saldırılara sebep olan güvenlik açıkları da artar. Örneğin, eğer OPC UA sunucu sadece LAN ya da kontrol ağı üzerinde kullanılabilir ise erişim sınırlı olacaktır. Sahte bir uygulamanın bu ağa sızması ve ağdaki tehlikeli bir makina tarafından güvenlik açığından faydalanması gerekecektir. Eğer OPC UA sunucu WAN üzerinde kullanılabilir ise ağ üzerinde OPC UA sunucusuna erişebilen tüm makinalar bu güvenlik açığından faydalanabilir.

 

KEPServerEX sadece varsayılan Localhost UA endpoint değerini yüklediği için yalnızca KEPServerEX ile aynı makinada çalışan uygulamalar bu güvenlik açığından faydalanabilir. Farklı bir localhost endpoint değerini kullanmak makinayı daha kolay bir hedef haline getirir ama bu durum aynı zamanda OPC UA sunucunun ağ üzerinde ne kadar erişilebilir olduğuna da bağlıdır.

 

Kepware bu konuları 16 Ağustos 2016'da piyasaya sürülen KEPServerEX 5.21.112 versiyonundaki OpenSSL 1.0.2h sürümünün güncellemesi ile ele aldı.

 

Hatadan kaynaklanan rahatsızlıklar için özür dileriz.