ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir dizi kritik sistemdeki güvenlik açıklarını ele alan altı Endüstriyel Kontrol Sistemi (ICS) tavsiyesi yayınladı.
Bu tavsiyelerin amacı, yetkisiz erişime, sistem güvenliğinin aşılmasına veya ele alınmaması halinde hassas verilerin açığa çıkmasına yol açabilecek riskler hakkında kuruluşları bilgilendirmeyi amaçlamaktadır.
Aşağıda her bir tavsiye belgesinin ayrıntıları, ilgili güvenlik açıkları ve azaltma stratejileri yer almaktadır.
1. mySCADA myPRO Manager – İşletim Sistemi Komut Ekleme Güvenlik Açıkları
CISA, mySCADA’nın myPRO Yöneticisinde ve myPRO Çalışma Zamanında, uzaktaki saldırganların rastgele işletim sistemi komutları yürütmesine izin veren iki kritik güvenlik açığı bildirdi. Her iki güvenlik açığı da ciddiyetini gösteren 9,3 CVSS v4 puanı aldı.
Güvenlik açıkları:
- CVE-2025-20061: E-posta bilgilerinin işlenmesiyle ilgili uygunsuz şekilde etkisiz hale getirilmiş POST istekleri yoluyla istismar edilebilir.
- CVE-2025-20014: Sürüm bilgileriyle ilgili uygunsuz şekilde etkisiz hale getirilmiş POST istekleri yoluyla kullanılabilir.
Etkilenen Sürümler:
- myPRO Yöneticisi: 1.3’ten önceki sürümler.
- myPRO Çalışma Zamanı: 9.2.1’den önceki sürümler.
Güvenlik açığı bulunan sürümleri kullanan kuruluşlar, sistemlerini derhal satıcı tarafından sağlanan en son sürüme güncellemelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
2. Hitachi Energy RTU500 Serisi – Firmware Güncelleme Güvenliği Atlaması
Hitachi Energy’nin RTU500 serisindeki ürün yazılımı, kimliği doğrulanmış kullanıcıların güvenli güncelleme kontrollerini atlamasına olanak tanıyan ve potansiyel olarak imzasız ürün yazılımının yüklenmesine olanak tanıyan bir güvenlik kusuru içerir.
Güvenlik Açığı:
- CVE-2024-2617: 7,2 (CVSS v3) puan alan bu istismar, saldırganların ürün yazılımı güncellemelerini değiştirmesine olanak tanır.
Etkilenen Sürümler:
- Donanım yazılımı sürümleri 13.5.1–13.5.3, 13.4.1–13.4.4 ve 13.2.1–13.2.7.
Yöneticiler satıcı tarafından imzalanan ürün yazılımı güncellemelerini uygulamalı ve erişimi yalnızca yetkili personelle sınırlandırmalıdır.
3. Schneider Electric EVlink Home Smart ve Schneider Charge – Hassas Bilgilerin Açık Metin Saklanması
Schneider Electric’in EVlink Home Smart ve Schneider Charge ürünleri, hassas bilgilerin açık metin olarak depolanması nedeniyle, ürün yazılımı ikili dosyalarındaki test kimlik bilgilerinin açığa çıkmasına neden olabilecek bir güvenlik açığıyla karşı karşıyadır.
Güvenlik Açığı:
- CVE-2024-8070: 8,5 (CVSS v3) puan alan bu güvenlik açığı, hassas verilere yetkisiz erişimi kolaylaştırır.
Etkilenen Sürümler:
- EVlink Ev Akıllı: 2.0.6.0.0’dan önceki tüm sürümler.
- Schneider Saldırısı: 1.13.4’ten önceki tüm sürümler.
Kullanıcıların en son ürün yazılımı güncellemelerini uygulamaları veya bu cihazlara fiziksel ve ağ erişimini kısıtlamaları önerilir.
4. Schneider Electric Easergy Studio – Ayrıcalık Artışı Güvenlik Açığı
Easergy Studio platformunda, dosya sistemi erişimi olan saldırganların yükseltilmiş ayrıcalıklar elde etmesine olanak tanıyan uygun olmayan bir ayrıcalık yönetimi kusuru bulunmaktadır.
Güvenlik Açığı:
- CVE-2024-9002: 7,8 (CVSS v3) puan alan bu istismar, iş istasyonunun gizliliğinin, bütünlüğünün ve kullanılabilirliğinin tehlikeye atılmasına yol açabilir.
Etkilenen Sürümler:
- Easergy Studio’nun 9.3.1 ve önceki sürümleri.
Kuruluşlar Schneider Electric’in güncellemelerini uygulamalı ve etkilenen sistemlerde kullanıcı erişimini kısıtlamalıdır.
5. Schneider Electric EcoStruxure Power Build Rapsody – Bellek Arabelleğinin Kullanımı
EcoStruxure Power Build Rapsody, saldırganların kötü amaçlı bir proje dosyasını açarak rastgele kod yürütmesine olanak tanıyan bir bellek arabelleği kısıtlama güvenlik açığından muzdaripti.
Güvenlik Açığı:
- CVE-2024-11139: Yerel olarak kullanıldığında potansiyel etkisi nedeniyle 4,6 (CVSS v4) olarak derecelendirildi.
Etkilenen Sürümler:
- Diğerlerinin yanı sıra v2.5.2 NL, v2.7.1 FR, v2.7.5 ES ve v2.5.4 INT dahil olmak üzere çeşitli yerelleştirilmiş sürümler.
Müşteriler en son sürüme güncelleme yapmalı veya güvenilmeyen proje dosyalarını açmaktan kaçınmalıdır.
6. HMS Networks Ewon Flexy 202 – Kimlik Bilgilerinin Açık Metin İletimi
HMS Networks’ün Ewon Flexy 202’si, kullanıcılar web sayfası aracılığıyla eklendiğinde veya değiştirildiğinde kullanıcı kimlik bilgilerini açık metin biçiminde ileterek, onları müdahaleye açık hale getirir.
Güvenlik Açığı:
- CVE-2025-0432: 6,9 (CVSS v4) puan alan bu güvenlik açığından, düşük karmaşıklıktaki saldırı senaryolarında yararlanılabilir.
Etkilenen Sürümler:
- Ewon Flexy 202’nin tüm versiyonları.
Kullanıcılar, etkilenen cihazlara ağ erişimini kısıtlamalı ve mümkün olduğunda şifreleme protokolleri uygulamalıdır.
CISA’nın en son ICS tavsiyeleri, endüstriyel kuruluşların gelişen siber güvenlik tehditlerine karşı tetikte kalmalarının kritik gerekliliğinin altını çiziyor. Riskleri azaltmak için:
- Satıcılar tarafından sağlanan en son yamaları veya güncellemeleri uygulayın.
- ICS sistemlerine erişimi kısıtlayın ve güçlü kimlik doğrulama politikaları uygulayın.
- Ağları, özellikle açıkta kalan ICS uç noktalarını hedef alan olağan dışı etkinlikler açısından izleyin.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri