Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 20 Mart 2025’te beş endüstriyel kontrol sistemi (ICS) danışmanlığı yayınladı ve çoklu satıcılarda endüstriyel kontrol sistemlerini etkileyen güvenlik açıkları hakkında kritik bilgiler sağladı.
Bu tavsiyeler, dünya çapında kritik altyapı sektörlerini potansiyel olarak etkileyebilecek güvenlik açıkları için önemli rehberlik sunmaktadır.
Tavsiyelere genel bakış
ICSA-25-079-01: Schneider Electric EcoStrruxure ™
CVE-2025-0327, Schneider Electric’in EcoSTruxure ™ Process uzman yazılımında bulunan uygunsuz bir ayrıcalık yönetimi kırılganlığını açıklar.
Bu güvenlik kusuruna, yüksek bir şiddet gösteren 8.5 CVSS V4 taban skoru atandı.
Güvenlik açığı, yazılımın, özellikle 2020R2, 2021 ve 2023 olmak üzere birçok sürümünü etkiler ve v4.8.0.5715’ten önceki sürümlerde mevcuttur.
Bu nedenle, bu önceki sürümlerden herhangi birini çalıştıran kullanıcılar risk altındadır ve bu güvenlik açığının potansiyel sömürüsünü azaltmak için yamalı versiyona mümkün olan en kısa sürede güncellenmelidir.
ICSA-25-079-02: Schneider Electric Enerlin’x Ife ve Eife
Danışmanlık, hepsi uygunsuz girdi validasyonundan kaynaklanan tanımlanmış olan CVE-2025-0816, CVE-2025-0815 ve CVE-2025-0814 olmak üzere üç farklı güvenlik açığı içerir.
CVE-2025-0816, IPv6 paketlerinde uygunsuz giriş validasyonu ile ilgilidir ve yüksek bir şiddet gösteren 7.1 CVSS V4 baz skoru atanmıştır.
Benzer şekilde, CVE-2025-0815 ayrıca 7.1’lik bir CVSS V4 taban skoru taşır ve ICMPV6 paketlerinde uygun olmayan giriş validasyonu ile ilgilidir.
Son olarak, CVE-2025-0814, IEC61850-mms paketlerinin uygunsuz giriş validasyonunu, 6.9 CVSS V4 baz skoru ile yüksek olarak kabul edilir.
Bu güvenlik açıkları, gelen paketlerin yetersiz doğrulanmasının güvenlik ihlallerine yol açabileceği ağ trafiğinin işlenmesindeki potansiyel zayıflıkları toplu olarak vurgulamaktadır.
ICSA-25-0
ICSA-25-079-03, Siemens SimCenter femapında bir güvenlik açığı detaylandırıyor. Özellikle, CVE-2025-25175, “bir bellek tamponunun sınırları dahilinde işlemlerin uygunsuz bir şekilde kısıtlanmasını” tanımlar.
Bu kusur potansiyel olarak hafıza yolsuzluğuna veya diğer istenmeyen davranışlara yol açabilir. Güvenlik açığı, yüksek bir şiddet gösteren 7.3’lük bir CVSS V4 taban skoru atanmıştır.
Etkilenen versiyonlar V2401.0003 ve V2406.0002 öncesi versiyonlardır.
Siemens SimCenter Femap’in eski sürümlerinin kullanıcılarına, bu güvenlik açığının ortaya koyduğu riski azaltmak için yamalı bir versiyona güncellemeleri şiddetle tavsiye edilir.
ICSA-25-079-04: SMA Sunny Portal
CVE-2025-0731, “tehlikeli türde dosyanın sınırsız yüklenmesi” ile karakterize edilen bir güvenlik açığını açıklar.
Bu kusur, kullanıcıların, uzaktan kod yürütme veya diğer kötü amaçlı etkinlikler gibi çeşitli güvenlik risklerine yol açabilecek potansiyel olarak zararlı türlerde dosyaları yüklemelerine olanak tanır.
Güvenlik açığı, önemli bir endişe düzeyini gösteren 6.9’luk bir CVSS V4 taban skoru atanmıştır. Kritik olarak, bu güvenlik açığı 19 Aralık 2024’ten önce yayınlanan yazılımın tüm sürümlerini etkiler.
Bu nedenle, bu tarihten önce bir sürümü çalıştıran herhangi bir sistem sömürüye duyarlıdır ve güvenli bir sürüme anında yama yapmayı veya güncellenmeyi gerektirir.
ICSMA-25-079-01: Santesoft Sante Dicom Viewer Pro
CVE-2025-2480, bellek yolsuzluğuna ve potansiyel kod yürütülmesine yol açabilecek kritik bir güvenlik kusuru olan sınır dışı bir yazma güvenlik açığı belirtir.
Bu güvenlik açığı, yüksek bir şiddet gösteren 8.4’lük bir CVSS V4 taban skoru atanmıştır. Etkilenen sürümler 14.1.2 ve önceki tüm sürümlerdir.
Sonuç olarak, bu sürümleri çalıştıran herhangi bir sistem risk altındadır ve bu sınır dışı yazma kırılganlığının potansiyel kullanılmasını önlemek için yamalı bir versiyona güncellenmelidir.
Bu tavsiyeler CISA’nın endüstriyel kontrol sistemlerindeki güvenlik açıklarını ele alma çabalarına devam etmektedir.
Bu ayın başlarında CISA, 18 Mart 2025’te yedi ICS tavsiyesi ve 13 Mart 2025’te on üç tavsiye yayınladı ve ajansın kritik altyapı sağlama taahhüdünü vurguladı.
CISA, kullanıcıları ve yöneticileri teknik detaylar için bu tavsiyeleri gözden geçirmeye ve önerilen azaltmaları derhal uygulamaya teşvik eder.
Endüstriyel kontrol sistemleri genellikle kritik altyapıyı destekler ve bu güvenlik açıklarını temel hizmetleri bozmaya çalışan tehdit aktörleri için potansiyel hedefler haline getirir.
Etkilenen ürünleri kullanan kuruluşlar, maruziyetlerini derhal değerlendirmeli, risk değerlendirmesine dayalı olarak yamalamaya öncelik vermeli ve bu güvenlik açıklarının kullanılmasını önlemek için gerekli hafifletmeler uygulamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free