CISA, Delta Electronics’in Dialink Endüstriyel Kontrol Sistemi yazılımında iki kritik yol geçiş kusuru hakkında bir uyarı yayınladı.
Maksimum CVSS V4 baz skoru 10.0 ile, bu güvenlik açıkları, kimlik doğrulamasını atlamak ve kritik üretim ortamlarına yetkisiz erişim elde etmek için düşük saldırı karmaşıklığı ile uzaktan kullanılabilir.
Delta elektronik yolu geçiş kusurları
Delta Electronics Dialink Sürümleri V1.6.0.0 ve Prior, CVE-2025-58320 olarak izlenen kısıtlı bir dizin (‘yol geçiş’) güvenlik açığı ile bir yol adının uygunsuz bir şekilde sınırlandırılmasını içerir.
Bu kusur, bir saldırganın özel olarak kodlanmış API veya HTTP istekleri hazırlamasına izin verir, amaçlanan uygulama dizininin dışında geçip hassas dosyalara erişir.
Bir CVSS V3.1 baz skoru: 7.3 (AV: N/AC: L/PR: N/UI: N/S: U/C: L/I: L/A: L) ve CVSS V4 Base Skor: 6.9 (AV/UI: N/PR: N/UI: N/SC/SI: L/VI: L/VA: L/VIT: L/VI: L/VI: L/VIT: L/VIT: l/vit: l/nit: l/vit: l/vit: l/nit: l/nit: l/vit: l/nit: Oturum açma istemlerini tetiklemeden kimlik bilgisi depoları veya kontrol mantık komut dosyaları gibi yapılandırma dosyalarını okumak veya değiştirmek için kimlik doğrulanmamış bir düşman.
Kod yürütme yalnızca bu CVE aracılığıyla doğrudan elde edilemese de, hassas dosyalara yetkisiz erişim sonraki saldırıları veya veri açığa çıkmasını kolaylaştırabilir.
CVE-2025-58321, aynı Dialink ürün sürümlerinde daha şiddetli bir yol geçirme sorunudur. CVE-2025-58320’den farklı olarak, bu kusur keyfi dosya sistemi konumlarına hem okuma hem de yazma erişimini sağlar.
Güvenlik açığı bir CVSS V3.1 baz skoru taşır: 10.0 (AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: H/A: H) ve CVSS V4 BASE skoru: 10.0 (av: n/l/at: n/pr: n/vc: h/vi: h/h/vc: h/h/s: h/h/h/v: h/h/s: h/h/vc: h/v:
Bir saldırgan, kimlik doğrulamasını tamamen atlayabilir, kötü amaçlı dosyalar veya komut dosyaları yükleyebilir ve potansiyel olarak Dialink hizmetinin ayrıcalıklarıyla kodu yürütebilir.
Dosya oluşturma, silme ve yürütme üzerindeki bu tam kontrol, endüstriyel ortamlarda bozulma, fidye yazılımı dağıtım veya kalıcı arka kapı riskini önemli ölçüde artırır.
Bu güvenlik açıkları, Trend Micro’nun Sıfır Gün Girişimi ile işbirliği yapan anonim bir araştırmacı tarafından özel olarak bildirilmiştir.
| CVE | Başlık | CVSS v3.1 puanı | Şiddet |
| CVE-2025-58320 | Tam kimlik doğrulama bypass ve kod yürütmesine izin veren kısıtlı bir dizinle (yol geçiş) bir yol adının yanlış sınırlandırılması | 7.3 | Yüksek |
| CVE-2025-58321 | Bir yol adının sınırlı bir dizinle (yol geçiş) uygunsuz sınırlandırılması, tam kimlik doğrulama baypası ve kod yürütülmesine izin verir | 10.0 | Eleştirel |
Azaltma
Her iki CVE de düşük saldırı karmaşıklığı ile uzaktan sömürülebilir ve dünya çapında kritik üretim operasyonları için ciddi riskler oluşturmaktadır.
Delta Electronics, Delta İndirme Merkezi aracılığıyla mevcut olan V1.8.0.0 veya üstüne derhal yükseltmeyi çağırıyor. Kuruluşlar da:
- Güvenlik duvarlarının arkasındaki ağlar ve kontrol sistemlerinin doğrudan internete maruz kalmasını önleyin.
- Tüm uzak bağlantılar için VPN’ler veya güvenli ağ geçitleri kullanın.
- İşletme ve operasyonel teknoloji ağları arasında sıkı bir ayrım uygulamak.
- Dosya sistemi izinlerini denetleyin ve dizin erişim kontrollerini kısıtlayın.
CISA, yama dağıtımından önce kapsamlı etki analizi ve risk değerlendirmelerini önerir ve toplu tehdit istihbaratını desteklemek için şüpheli faaliyetlerin raporlanmasını teşvik eder.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.