Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 24 Haziran 2025’te kritik güvenlik açıklarını ve temel altyapıya yönelik tehditleri ele alan sekiz yeni endüstriyel kontrol sistemi (ICS) danışmanı yayınladı.
Bu tavsiyeler, dünya çapında kullanılan bir dizi ICS ürünü için ayrıntılı teknik bilgiler ve hafifletme rehberliği sağlar.
1.Kaleris NAVIS N4 Terminal İşletim Sistemi: Uzaktan İstismarlar ve Veri Maruziyeti
Güvenlik Açıkları Tanımlandı:
.png
)
- Güvenilmeyen verilerin çitselleştirilmesi (CWE-502):
- CVE-2025-2566 – Güvensiz Java Deserializasyon yoluyla kimlik doğrulanmamış uzaktan kod yürütülmesine izin verir.
- Hassas Bilgilerin Clear Metin İletimi (CWE-319):
- CVE-2025-5087 – Saldırganların güvensiz HTTP iletişimi yoluyla düz metin kimlik bilgileri de dahil olmak üzere hassas bilgileri çıkarmalarını sağlar.
Risk: Saldırganlar sistemi uzaktan kullanabilir, keyfi kod yürütebilir veya hassas kimlik bilgilerini çıkarabilir.
2.Delta Electronics CNCSoft: Birden Fazla Bağlantı Dışı Kusurlar
Güvenlik Açıkları Tanımlandı:
- Bounds dışı yazma (CWE-787):
- CVE-2025-47724
- CVE-2025-47725
- CVE-2025-47726
- CVE-2025-47727
Bir kullanıcı kötü amaçlı bir dosya açarsa dört güvenlik açığının tümü kod yürütülmesine izin verir.
Risk: Saldırganlar, dosya doğrulama kusurlarından yararlanarak geçerli işlem bağlamında kod yürütebilir.
3.Schneider Electric Modicon Denetleyicileri: Giriş Doğrulama ve XSS riskleri
Güvenlik Açıkları Tanımlandı:
- Yanlış giriş doğrulaması (CWE-20):
- CVE-2025-3898
- CVE-2025-3116
- Web sayfası oluşturma sırasında girişin yanlış nötralizasyonu (siteler arası komut dosyası, CWE-79):
- CVE-2025-3899
- CVE-2025-3905
- CVE-2025-3117
- Kontrolsüz kaynak tüketimi (CWE-400):
Risk: Başarılı sömürü, Web arabirimleri aracılığıyla hizmetin reddine, keyfi kod yürütülmesine veya yetkisiz veri manipülasyonuna yol açabilir.
4.Schneider Electric Evlink Duvar Kutusu: Yol geçiş ve komut enjeksiyonu
Güvenlik Açıkları Tanımlandı:
- Bir yol adının sınırlı bir dizinle uygunsuz sınırlandırılması (yol geçiş, CWE-22):
- CVE-2025-5740
- CVE-2025-5741
- Web sayfası oluşturma sırasında girişin yanlış nötralizasyonu (siteler arası komut dosyası, CWE-79):
- Bir işletim sistemi komutunda kullanılan özel elemanların uygunsuz nötralizasyonu (OS komut enjeksiyonu, CWE-78):
Risk: Saldırganlar uzaktan kumanda kazanabilir, keyfi dosyaları okuyabilir veya yazabilir veya web sunucusu aracılığıyla kötü amaçlı kod enjekte edebilir.
5. Kontrollü Kimlik Şirket içi: Kimlik Doğrulama Bypass ve SQL enjeksiyonu
Güvenlik Açıkları Tanımlandı:
- Yanlış Kimlik Doğrulama (CWE-287):
- Sunucu tarafı isteği asmeri (SSRF, CWE-918):
- Bir SQL komutunda kullanılan özel elementlerin yanlış nötralizasyonu (SQL Enjeksiyonu, CWE-89):
Risk: İstismarlar, saldırganların kimlik doğrulamasını atlamasına, hassas verileri almasına veya keyfi SQL komutları yürütmesine izin verebilir.
6.Parsons Accuweather Widget: Hizmet Portallarında Siteler Arası Komut Dosyası
Güvenlik Açığı Tanımlandı:
- Web sayfası oluşturma sırasında girişin yanlış nötralizasyonu (siteler arası komut dosyası, CWE-79):
Risk: Saldırganlar, RSS beslemelerine kötü niyetli bağlantılar ekleyebilir ve potansiyel olarak feed’e erişen kullanıcılardan ödün verebilir.
7.Microsens NMP Web+: Sabit kodlu kimlik bilgileri ve yol geçiş
Güvenlik Açıkları Tanımlandı:
- Sert kodlanmış, güvenlik ile ilgili sabitlerin kullanımı (CWE-547):
- Yetersiz Oturum Sona Erme (CWE-613):
- Bir yol adının sınırlı bir dizinle uygunsuz sınırlandırılması (yol geçiş, CWE-22):
Risk: Saldırganlar kimlik doğrulamasını atlayabilir, kalıcı erişim elde edebilir, dosyaların üzerine yazabilir veya keyfi kod yürütebilir.
8.Mitsubishi Electric Melsec-Q Serisi PLCS (Güncelleme B): Kaynak tükenmesi
Güvenlik Açığı Tanımlandı:
- Kontrolsüz kaynak tüketimi (kaynak tükenmesi, CWE-400):
Risk: Uzak saldırganlar, özel hazırlanmış paketler göndererek Ethernet ve USB iletişimini çökertebilir.
CISA, tüm ICS kullanıcılarını ve yöneticilerini teknik detaylar için bu tavsiyeleri gözden geçirmeye ve kritik altyapıyı devam eden tehditlerden korumak için önerilen hafifletmeler uygulamaya çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin