Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 7 Ağustos 2025’te çeşitli endüstriyel otomasyon ve kontrol platformlarında kritik güvenlik açıklarını vurgulayarak on Endüstriyel Kontrol Sistemi (ICS) danışmanlığı yayınladı.
Bu tavsiyeler, üretim, enerji ve ulaşım sistemleri de dahil olmak üzere çoklu sektörlerde kritik altyapı operasyonlarını potansiyel olarak etkileyebilecek güvenlik boşluklarını ele almak için kapsamlı bir çabayı temsil etmektedir.
CISA’nın en son endüstriyel kontrol sistemleri tavsiyeleri, ajansın kritik altyapıyı gelişen siber güvenlik tehditlerinden koruma konusundaki taahhüdünü gösteriyor.
On tavsiye, her biri endüstriyel operatörlerden ve siber güvenlik profesyonellerinden derhal ilgi gerektiren benzersiz güvenlik zorlukları sunan farklı endüstriyel kontrol sistemi satıcılarını ve platformlarını kapsayan güvenlik açıklarını ele almaktadır.
1. Delta Electronics Diaview (ICSA-25-219-01)
Diaview v4.2.0.0’da bir yol geçiş kusuru (CWE-22) ve önceki uzak saldırganların keyfi dosyaları okumasına veya yazmasına izin verir.
- CVE-2025-53417: CVSS v3.1 9.8; CVSS v4.0 9.3
2. Johnson, FX80 ve FX90’ı kontrol eder (ICSA-25-219-02)
Savunmasız bir üçüncü taraf bileşene bağımlılık (CWE-1395) yapılandırma uzlaşmasını sağlar.
- CVE-2025-43867: CVSS v3.1 7.7; CVSS v4.0 8.4
3. Burk Teknolojisi ARC Solo (ICSA-25-219-03)
V1.0.62’den önceki sürümlerde kritik işlev (CWE-306) için eksik kimlik doğrulama, parola değiştirme uç noktası ile devralmaya izin verir.
- CVE-2025-5095: CVSS V3 9.8; CVSS V4 9.3
4. Rockwell Automation Arena (ICSA-25-219-04)
Çok sayıda yerel kod yürütme güvenlik açıkları, okunan, yığın tabanlı ve yığın tabanlı arabellek taşmaları nedeniyle.
- CVE-2025-7025, CVE-2025-7032, CVE-2025-7033: CVSS v3.1 7.8; CVSS v4.0 8.4
5. Paket gücü EMX ve EG (ICSA-25-219-05)
Varsayılan web arayüzünde kritik işlev için eksik kimlik doğrulama (CWE-306).
- CVE-2025-8284: CVSS v3.1 9.8; CVSS v4.0 9.3
6. Dreame Technology iOS ve Android mobil uygulamaları (ICSA-25-219-06)
Yanlış sertifika doğrulaması (CWE-295), kendi kendine imzalanan TLS bağlantılarına ortadaki insan saldırılarına izin verir.
- CVE-2025-8393: CVSS v3.1 7.3; CVSS v4.0 8.5
7. EG4 Elektronik EG4 İnvertörleri (ICSA-25-219-07)
Cleartext iletimi, ürün yazılımı bütünlüğü baypas, gözlemlenebilir tutarsızlık yoluyla bilgi açıklaması ve aşırı kimlik doğrulama girişimleri.
- CVE-2025-52586: CVSS v3.1 6.9; CVSS v4.0 7.5
- CVE-2025-53520: CVSS v3.1 8.8; CVSS v4.0 8.6
- CVE-2025-47872: CVSS v3.1 5.8; CVSS v4.0 6.9
- CVE-2025-46414: CVSS v3.1 8.1; CVSS v4.0 9.2
8. Yealink IP Telefonları ve RPS (ICSA-25-219-08)
Çoklu kusurlar-aşırı kimlik doğrulama denemesi (CWE-307), oran sınırlama eksikliği (CWE-770), yanlış yetkilendirme (CWE-863) ve uygunsuz sertifika doğrulaması (CWE-295).
- CVE-2025-52916: CVSS V3 2.2; CVSS V4 2.1
- CVE-2025-52917: CVSS V3 4.3; CVSS V4 5.3
- CVE-2025-52918: CVSS V3 5.0; CVSS V4 5.3
- CVE-2025-52919: CVSS V3 4.3; CVSS V4 5.3
9. Instantel Micromate (ICSA-25-148-04)
Modem yoluyla bağlandığında yapılandırma bağlantı noktasında kritik işlev (CWE-306) için eksik kimlik doğrulama.
- CVE-2025-1907: CVSS v3.1 9.8; CVSS v4.0 9.3
10. Mitsubishi Electric Iconics & Mitsubishi Elektrik Ürünleri (ICSA-25-140-04)
Alarmworx64 çağrı cihazı aracısında sembolik bağlantı yoluyla gereksiz ayrıcalıklarla yürütme (CWE-250).
- CVE-2025-0921: CVSS v3.1 6.5; CVSS v4.0 8.3
- CVE-2025-7376: CVSS v3.1 5.9; CVSS v4.0 4.1
CISA’nın on endüstriyel kontrol sistemi danışmanlığını serbest bırakması, kritik altyapının karşılaştığı siber güvenlik tehditlerinin kalıcı ve gelişen doğasını vurgulamaktadır.
Endüstriyel kontrol sistemlerini işleten kuruluşlar, hem bilinen güvenlik açıklarını hem de ortaya çıkan tehdit vektörlerini ele alan kapsamlı siber güvenlik programlarının uygulanmasında uyanık kalmalıdır.
Devlet kurumları, satıcılar ve operatörler arasındaki işbirliği, modern toplumu destekleyen kritik altyapı sistemlerinin güvenliğini ve esnekliğini korumak için gereklidir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir