Schneider Electric, saldırganların uzaktan kodu yürütmesine ve yetkisiz sistem erişimi kazanmasına izin verebilecek ekoSTruxure BT veri merkezi uzman yazılımını etkileyen altı güvenlik açıkından oluşan kritik bir kümeyi açıkladı.
8.3 ve önceki sürümlerde keşfedilen güvenlik açıkları, dünya çapında veri merkezi operasyonları için önemli güvenlik riskleri sunmaktadır.
CVE-2025-50121 olarak izlenen en şiddetli güvenlik açığı, 10.0 mükemmel bir CVSS puanı taşır ve işletim sistemi komut enjeksiyonu yoluyla kimlik doğrulanmamış uzaktan kod yürütülmesini sağlar.
Bu kritik kusur, kötü amaçlı aktörler, protokol varsayılan olarak devre dışı bırakılmasına rağmen, HTTP etkinleştirildiğinde web arayüzü aracılığıyla özel olarak hazırlanmış klasörler oluşturduğunda gerçekleşir.
Ek güvenlik açıkları arasında şifre üretiminde yetersiz entropi (CVE-2025-50122), hostname manipülasyonu (CVE-2025-50123) yoluyla kod enjeksiyonu ve sunucu tarafı istek ambalge saldırıları (CVE-2025-50125) bulunur.
Schneider elektrikli analistler, bu güvenlik açıklarını, dış araştırmacılar Jaggar Henry ve Jim Becher tarafından Korelogic, Inc.
Şirket, bu bulguların ciddiyetini kabul etti ve saldırı vektörlerini ve potansiyel etkileri özetleyen ayrıntılı teknik belgeler yayınladı.
Güvenlik açıkları, çok sayıda endüstriyel ortamda kritik altyapı ekipmanı için ölçeklenebilir izleme yazılımı görevi gören EkoStrruxure BT veri merkezi uzman platformunu toplu olarak etkiler.
OS komut enjeksiyon mekanizması
Birincil saldırı vektörü, CVE-2025-50121’in sistem komutlarındaki özel elemanların yanlış nötralizasyonunu kullanan OS komut enjeksiyon güvenlik açığı üzerine odaklanmaktadır.
Web arayüzünde HTTP etkinleştirildiğinde, saldırganlar doğrudan temel işletim sistemine kötü niyetli komutları enjekte etmek için klasör oluşturma işlemlerini manipüle edebilir.
Bu teknik, standart giriş doğrulama mekanizmalarını atlar ve kimlik doğrulama gereksinimleri olmadan anında sistem düzeyinde erişim sağlar.
Güvenlik açığı, uygulama kullanıcı tarafından sağlanan klasör adlarını uygun dezenfekte olmadan işlediğinde ortaya çıkar ve kabuk metacharacters’ın sistem komutları olarak yorumlanmasına izin verir.
Örneğin, noktalı virgül, boru veya backticks içeren klasör adları, amaçlanan komut bağlamından çıkabilir ve sistem ayrıcalıklarıyla keyfi kod yürütebilir.
| CVE kimliği | CVSS v3.1 puanı | CVSS v4.0 skoru | Güvenlik Açığı Türü | Saldırı vektörü |
|---|---|---|---|---|
| CVE-2025-50121 | 10.0 (kritik) | 9.5 (kritik) | OS komut enjeksiyonu | Ağ |
| CVE-2025-50122 | 8.3 (Yüksek) | 8.9 (Yüksek) | Yetersiz entropi | Bitişik ağ |
| CVE-2025-50123 | 7.2 (Yüksek) | 7.2 (Yüksek) | Kod enjeksiyonu | Fiziksel |
| CVE-2025-50125 | 7.2 (Yüksek) | 6.3 (Orta) | Sunucu tarafı isteği asmeri | Ağ |
| CVE-2025-50124 | 6.9 (Orta) | 7.2 (Yüksek) | Ayrıcalık yönetimi | Fiziksel |
| CVE-2025-6438 | 6.8 (Orta) | 5.9 (Orta) | XML dış varlık | Ağ |
Kuruluşlar, tanımlanan tüm güvenlik açıklarını ele alan EcoStrruxure BT Veri Merkezi Uzmanı Sürüm 9.0’a hemen yükseltilmelidir.
Geçici azaltma olarak, yöneticiler HTTP erişimini devre dışı bırakmalı ve Schneider Electric’in Siber Güvenlik En İyi Uygulamaları El Kitabı’nı takiben ağ segmentasyon kontrollerini uygulamalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi