ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 29 Mayıs 2025’te yaygın olarak konuşlandırılan endüstriyel otomasyon ve altyapı sistemlerinde kritik güvenlik açıklarını ele alan beş acil endüstriyel kontrol sistemi (ICS) danışmanlığı yayınladı.
Bu tavsiyeler, Siemens erişim kontrol sistemlerini, yangın güvenliği panellerini, çevresel izleme cihazlarını ve kritik işlemleri potansiyel olarak bozabilecek ve kamu güvenliğini tehlikeye atabilecek tıbbi görüntüleme yazılımlarını etkileyen ciddi güvenlik kusurlarını vurgulamaktadır.
Çeşitli sektörlerde yaygın ICS güvenlik açıkları
Beş tavsiye, kritik altyapı sektörlerinde kullanılan çeşitli endüstriyel kontrol sistemlerini kapsamaktadır. ICSA-25-148-01, Siemens Sipass elektronik erişim kontrol sistemini hedefler.
.png
)
Siemens SIPASS sistemi, potansiyel ürün yazılımı manipülasyon saldırılarını sağlayan CVSS V4 skoru 8.2 ile şifreleme imza kırılganlığının uygunsuz bir doğrulanması olan CVE-2022-31807’den muzdariptir.
ICSA-25-148-02, daha gelişmiş SIPASS entegre platformundaki güvenlik açıklarını ele alır.
SIPASS entegre platformu, CVSS V4’te, kimlik doğrulanmamış uzaktan hizmet reddi saldırılarına izin verebilecek olan 8.7’de 8.7 puan alan CVE-2022-31812 içerir.
ICSA-25-148-03 Danışmanlığı, deniz ve endüstriyel güvenlik uygulamalarında kullanılan Consilium Güvenliği CS5000 Yangın Paneline odaklanmaktadır.
CVE-2025-41438 (güvensiz varsayılanlarla başlatma) ve CVE-2025-46352 (sabit kodlu kimlik bilgileri) dahil olmak üzere güvenlik açıkları, her ikisi de CVSS V4’te 9.3 puan alır.
Bu kusurlar, varsayılan hesapları ve tam uzaktan sistem uzlaşmasını sağlayabilecek değişmez sabit kodlu şifreleri içerir.
ICSA-25-148-04, inşaat, madencilik ve petrol ve gaz sektörlerinde konuşlandırılan Instantel Micromate çevre izleme cihazını kapsar.
Instantel Micromate, eksik bir kimlik doğrulama güvenlik açığı olan CVE-2025-1907 ile yüzleşir, aynı zamanda 9.3 puan alır ve kimlik doğrulanmamış komut yürütmesine izin verir.
Buna ek olarak, ICSMA-25-148-01, sağlık hizmeti görüntülemesinde kullanılan Santesoft Sante Dicom Viewer Pro yazılımı için tıbbi bir danışmanlığı temsil etmektedir.
Bu, tıbbi ortamların yaşam-kritik doğası göz önüne alındığında, özellikle tehlikeli olan, keyfi kod uygulamasını sağlayan bellek yolsuzluk güvenlik açığı CVE-2025-5307 içerir.
Risk azaltma
CISA, satıcı tarafından önerilen azaltmaların hemen uygulanmasının kritik önemini vurgulamaktadır.
Siemens, TLS iletişimini etkinleştirmek ve operasyonel güvenlik yönergelerini takip etmek için özel önerilerle her iki SIPASS sistemine yamalar sağlamıştır.
Bununla birlikte, Consilium Güvenliği CS5000 Yangın Paneli, mevcut sürümler için hiçbir düzeltme planlanmadığından, satıcı 1 Temmuz 2024’ten sonra üretilen yeni ürünlere yükseltmeler önerirken benzersiz zorluklar sunar.
Instantel Micromate için kullanıcılar, ürün yazılımı güncellemelerini beklerken onaylanmış IP adres listeleri oluşturmalıdır.
Tıbbi sektör, potansiyel hasta verilerine maruz kalmayı ve teşhis sisteminin bozulmasını önlemek için v14.2.2’ye sürüm yükseltmelerinin gerekli olduğu Santesoft Dicom Viewer ile özel aciliyetle karşı karşıyadır.
CISA, ağ segmentasyonu, güvenlik duvarı koruması, uzaktan erişim için VPN uygulaması ve sürekli izleme gibi kapsamlı savunma önlemleri önermektedir.
Kuruluşlar, hafifletmeler konuşlandırmadan önce kapsamlı etki değerlendirmeleri yapmalı ve tam güvenlik açığı kapsamını sağlamak için güncellenmiş varlık stoklarını korumalıdır.
Danışma sürümü, dijital dönüşüm endüstriyel sektörler arasında hızlandıkça kritik altyapının karşılaştığı gelişen siber güvenlik zorluklarının altını çiziyor.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.