CISA, kritik güvenlik açıklarını ele alan 9 yeni ICS danışmanı


ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yaygın olarak kullanılan endüstriyel kontrol sistemleri (ICS) ürünlerinde ciddi güvenlik açıklarını detaylandıran dokuz yeni tavsiye yayınladı.

15 Nisan 2025’te yayınlanan bu tavsiyeler, kritik altyapıyı denetleyen operatörlerden ve yöneticilerden derhal harekete geçiyor. Aşağıda her danışmanlığın en önemli özellikleri:

Dokuz Endüstriyel Kontrol Sistemi Tavsiyesi

1.Siemens Mendix çalışma zamanı (CVE-2025-30280):

– Reklamcılık –
Google HaberleriGoogle Haberleri

İlk danışmanlık, gözlemlenebilir bir yanıt tutarsızlığı (CWE-204) kırılganlığından muzdarip olan Siemens Mendix çalışma zamanı ile ilgilidir.

CVE-2025-30280 ve CVSS V4 skoru 6.9 atanan bu kusur, kimlik doğrulanmamış uzak saldırganların Mendix çalışma zamanı tabanlı uygulamalarda geçerli varlıkları ve öznitelik adlarını numaralandırmasına izin verir.

Mendix Runtime V8, V9 ve spesifik V10 sürümlerinin tüm sürümleri etkilenir ve kullanıcılara mevcut güncellemeleri uygulamaları istenir.

2. Siemens Endüstriyel Kenar Cihaz Kiti (CVE-2024-54092):

İkinci danışma, Siemens Industrial Edge Cihaz Kitinde kritik bir zayıf kimlik doğrulama sorunu (CWE-1390) vurgulamaktadır.

CVE-2024-54092 olarak tanımlanan ve CVSS V4 ölçeğinde 9.3 puanlanarak, bu güvenlik açığı, kimlik federasyonu kullanılmaktadırsa, kimlik federasyonu kullanılırsa, kimlik doğrulanmamış uzak aktörlerin meşru kullanıcıları taklit etmelerini sağlar.

Çoklu ARM64 ve X86-64 sürümleri savunmasızdır; Kuruluşlar, sürümleri mümkün olan en kısa sürede güvence altına almak için doğrulamalı ve güncellemelidir.

3. Siemens Simocode, Simatic, Siplus, Sidoor, Siwarex (CVE-2024-23814):

Üçüncü danışmanlık, Siemens Simocode, Simatic, Siplus, Sidoor ve Siwarex cihazlarına hazırlanmış ICMP mesajları gönderilerek sömürülebilen kontrolsüz bir kaynak tüketimi kusurunu (CWE-400) açıklar.

CVSS V4 skoru 6.9 ile CVE-2024-23814 olarak izlenen bu sorun, etkilenen cihazlar sıfırlanana kadar hizmet reddi koşullarına yol açabilir.

4. Growatt Bulut Uygulamaları (CVE-2025-30511, CVE-2025-31933, CVE-2025-31949, CVE-2025-31357):

Dördüncü danışmanlık, depolanmış bir siteler arası komut dosyası (CVE-2025-30511) ve çeşitli yetkilendirme bypass sorunları (CVE-2025-31949, CVE-2025-31357) dahil olmak üzere Growatt bulut uygulamalarındaki birden fazla güvenlik açıkını kapsamaktadır.

Potansiyel sonuçlar arasında kod yürütme ve kullanıcı ve tesis verilerinin yetkisiz olarak ifşa edilmesi, CVSS V4 puanları 6.9 ila 8.7 arasında değişmektedir. 3.6.0 ve Growatt Cloud portalından önceki sürümleri çalıştıran tüm kullanıcılar güncellemeye şiddetle teşvik edilir.

5. Lantronix Xport (CVE-2025-2567): T

Beşinci Danışmanlık, Lantronix Xport’taki CVE-2025-2567 olarak tanımlanan kritik bir işlev (CWE-306) için kritik bir eksik kimlik doğrulaması konusunda uyarıyor.

Sömürü, cihaz konfigürasyonunun yetkisiz bir modifikasyonuna, yakıt depolama ve tedarik zincirleri gibi ortamlarda izleme ve operasyonel sürekliliğin bozulmasına neden olabilir.

6. Ulusal Aletler Labview (CVE-2025-2631, CVE-2025-2632):

Altıncı Danışma Detayları Detaylar Detayları, CVSS V4 skorları her biri 7.1 olan CVE-2025-2631 ve CVE-2025-2632 olarak atıfta bulunulan Ulusal Enstrümanlar Labview’de iki sınırsız güvenlik açıkları (CWE-787) yazıyor.

Bu kusurlardan yararlanan saldırganlar, etkilenen sistemlerde keyfi kod uygulayabilir veya hafıza yolsuzluğuna neden olabilir. LabView 2025 Q1’e kadar olan tüm sürümler duyarlıdır.

7. Delta Electronics Commgr (CVE-2025-3495):

Yedinci Danışma, Delta Electronics Commgr’da, kriptografik olarak zayıf sahte rastgele numara jeneratörünün (CWE-338) kullanıldığı ciddi bir kusura hitap ediyor.

CVSS V4 skoru 9.3 ile CVE-2025-3495 olarak bilinen bu sorun, uzaktan kod yürütmeyi makul hale getirir, bu nedenle anında yazılım güncellemeleri önerilir.

8. ABB M2M Ağ Geçidi (CVE-2022-23521, CVE-2022-41903, CVE-2023-25690):

Sekizinci danışmanlık, tamsayı taşmaları (CWE-190), klasik arabellek taşmaları ve HTTP isteği kaçakçılığı (CWE-444) gibi birçok güvenlik açığını vurgular-ABB M2M ağ geçidini etkilemektedir.

Bunlar, saldırganların keyfi kod yürütmesine, cihazları erişilemez hale getirmesine veya uzaktan kumanda almasına izin verebilir.

Bu kusurlar, CVE-2022-23521, CVE-2022-41903 ve CVE-2023-25690 altında, en yüksek CVSS V4 skoru 4.1.2 ila 5.0.3 arm600 ve 5.0.1 ila 5.0.3 m2m geçiş sw.

9. Mitsubishi Elektrik Avrupa BV SmArtrtu (CVE-2025-3232, CVE-2025-3128):

Dokuzuncu danışmanlık, kritik işlevler (CWE-306) ve OS komut enjeksiyonu (CWE-78) için eksik kimlik doğrulamaya karşı savunmasız olan Mitsubishi Electric Europe BV Smarttru ile ilgilidir.

CVE-2025-3232 ve CVE-2025-3128 olarak izlenen bu sorunlar, CVSS V4 puanlarına 9.3’e kadar sahiptir ve uzak saldırganların keyfi işletim sistemi komutlarını yürütmesine, verileri açıklamasına veya hizmetin reddine izin verebilir. 3.37 ve Prior sürümleri etkilenir.

Bu tavsiyeler, ICS ortamlarına devam eden ve ciddi tehditlerin altını çizmektedir.

CISA, kuruluşları tüm tavsiyeleri gözden geçirmeye, mevcut yamaları ve hafifletmeleri hemen uygulamaya ve kritik altyapı sistemlerinin bütünlüğünü ve kullanılabilirliğini sağlamak için en iyi güvenlik uygulamalarını izlemeye çağırıyor.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link