AVEVA, Süreç Optimizasyon yazılımında (eski adıyla ROMeo) saldırganların SİSTEM ayrıcalıklarıyla uzaktan kod yürütmesine ve endüstriyel kontrol sistemlerini tamamen tehlikeye atmasına olanak tanıyan yedi kritik ve yüksek önem dereceli güvenlik açığını açıkladı.
13 Ocak 2026’da yayınlanan güvenlik bülteni, AVEVA Process Optimization 2024.1 sürümünü ve önceki tüm sürümleri etkilemektedir.
CVE-2025-61937 olarak izlenen en ciddi güvenlik açığı, CVSSv4.0’da maksimum 10,0 puanı aldı ve yazılımın API’si aracılığıyla kimliği doğrulanmamış bir uzaktan kod yürütme kusurunu temsil ediyor.
Suistimal hiçbir kullanıcı etkileşimi gerektirmez ve saldırganların “taoimr” hizmeti üzerinde SİSTEM düzeyinde ayrıcalıklar elde etmesine olanak tanıyabilir ve bu da potansiyel olarak Model Uygulama Sunucusunun tamamen ele geçirilmesine yol açabilir.
Çoklu Saldırı Vektörleri Tanımlandı
Güvenlik açığı açıklaması, 9,3 CVSS puanına sahip üç ek kritik önem derecesine sahip kusuru içeriyor.
CVE-2025-64691, standart işletim sistemi kullanıcı ayrıcalıklarına sahip kimliği doğrulanmış saldırganların, TCL Makro komut dosyası üzerinde değişiklik yaparak kötü amaçlı kod enjekte etmesine ve ayrıcalıkları SİSTEM düzeyine yükseltmesine olanak tanır.
CVE-2025-61943, Captive Historian bileşenine SQL eklemeyi içeriyor ve saldırganların SQL Server yönetici ayrıcalıkları altında kod yürütmesine olanak tanıyor.
CVE-2025-65118, DLL ele geçirme güvenlik açıklarından yararlanarak Süreç Optimizasyon hizmetlerinde rastgele kod yükleme yoluyla ayrıcalık yükselmesine izin veriyor.
Güvenlik bülteni üç adet yüksek önem dereceli güvenlik açığıyla tamamlanıyor. CVE-2025-64729 (CVSS 8.6), eksik erişim kontrol listeleri nedeniyle proje dosyasına müdahale yoluyla ayrıcalık yükseltmeye olanak tanır.
CVE-2025-65117 (CVSS 8.5), kimliği doğrulanmış tasarımcı kullanıcılarının ayrıcalık yükseltme için kötü amaçlı OLE nesnelerini grafiklere yerleştirmesine olanak tanır.
CVE-2025-64769 (CVSS 7.6), şifrelenmemiş iletim kanalları aracılığıyla hassas bilgileri açığa çıkararak ortadaki adam saldırısı fırsatları yaratır.
| CVE | Güvenlik Açığı Türü | CVSS Puanı |
|---|---|---|
| CVE-2025-61937 | API aracılığıyla Uzaktan Kod Yürütme | 10.0 Kritik |
| CVE-2025-64691 | Kod Enjeksiyonu (TCL Makro) | 9.3 Kritik |
| CVE-2025-61943 | SQL Enjeksiyonu | 9.3 Kritik |
| CVE-2025-65118 | DLL Ele Geçirme | 9.3 Kritik |
| CVE-2025-64729 | Eksik Yetkilendirme | 8.6 Yüksek |
| CVE-2025-65117 | Kötü Amaçlı OLE Nesneleri | 8,5 Yüksek |
| CVE-2025-64769 | Şeffaf Metin İletimi | 7,6 Yüksek |
AVEVA, belirlenen tüm güvenlik açıklarını gidermek için AVEVA Process Optimization 2025 veya daha üst bir sürüme derhal yükseltme yapılmasını önerir.
Yamaları hemen uygulayamayan kuruluşlar, taoimr hizmetini 8888/8889 bağlantı noktalarındaki güvenilir kaynaklarla sınırlayan güvenlik duvarı kuralları, kurulum dizinlerine yazma erişimini sınırlayan erişim kontrol listeleri ve proje dosyaları için katı gözetim zinciri protokollerini sürdürme dahil olmak üzere geçici savunma önlemleri uygulamalıdır.
Güvenlik açıkları, Veracode’dan güvenlik araştırmacısı Christopher Wu tarafından, AVEVA’nın sponsorluğunda yapılan bir sızma testi çalışması sırasında keşfedildi; CISA, tavsiye amaçlı yayın ve CVE ataması için koordinasyon sağladı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.