CISA, 31 Temmuz 2025’te, uzak saldırganların kritik altyapı sistemlerini manipüle etmesini sağlayabilecek yaygın olarak konuşlandırılmış endüstriyel ekipmanlarda kritik güvenlik açıklarını vurgulayarak iki yüksek şiddetli endüstriyel kontrol sistemi (ICS) danışmanı yayınladı.
Kusurlar sismik izleme cihazlarını ve küresel kritik üretim sektörlerinde kullanılan sanallaştırılmış endüstriyel sistemleri etkiler.
Key Takeaways
1. CISA issued advisories for Güralp seismic devices and Rockwell VMware systems.
2. Enable remote access and code execution on industrial infrastructure
3. Isolate systems from the internet and apply patches immediately
Gülp Sismik İzleme Sistemleri Güvenlik Açığı
İlk danışma, Şiddetli Kimlik Doğrulama Bypass Güvenlik Açığı’nı Gürp FMUS Serisi Sismik İzleme Cihazlarında, şu anda dünya çapında dağıtılan tüm sürümleri etkilemektedir.
CVE-2025-8286 olarak izlenen ve CWE-306 (kritik fonksiyon için eksik kimlik doğrulama) altında sınıflandırılan güvenlik açığı, maksimum CVSS V4 skoru 9.3 ve CVSS V3 skoru 9.8 taşır.
Microsec’ten güvenlik araştırmacısı Souvik Kandar, bu cihazların düşük saldırı karmaşıklığı ile uzaktan erişilebilen kimliği doğrulanmamış bir telnet tabanlı komut satırı arayüzünü ortaya çıkardığını keşfetti.
Başarılı sömürü, saldırganların donanım yapılandırmalarını değiştirmesine, sismik verileri manipüle etmesine veya deprem algılama ve endüstriyel güvenlik sistemleri için kritik olan ekipman izleme konusunda fabrika sıfırlamalarını gerçekleştirmesine izin verebilir.
Güvenlik Açığı’nın CVSS V4 vektör String AV: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N, kullanıcı etkileşimi veya ayrıcalığı gerektirmeyen ağa erişilebilir saldırıları gösterir.
CISA’nın koordinasyon girişimlerine rağmen, Gürp Systems açıklama çabalarına yanıt vermedi ve kullanıcıları güvenlik duvarı izolasyonu ve VPN tarafından korunan uzaktan erişim de dahil olmak üzere ağ düzeyinde hafifletmeler uygulamaya bıraktı.
Rockwell Automation’s VMware kullanma
İkinci danışmanlık, Rockwell Automation’ın Endüstriyel Veri Merkezleri (IDC), Versairtual cihazlar (VVA), Tehdit Tespit Yönetilen Hizmetler (TDMS) ve uç nokta koruma hizmetleri dahil VMware altyapısını kullanarak yaşam döngüsü hizmetlerini hedefler.
Dört farklı güvenlik açığı bu sistemleri etkiler, CVSS V4 puanları 9.4’e ulaşır.
VMware’in VMXNet3 sanal ağ adaptörü), VMCIE, erdemalize iletişim arayüzü (vMxNet3 sanal ağ adaptör, eritili makine iletişim arayüzü ve parıltı) ve parıltı koşullarında alt akış koşullarından (CVE-2025-41236, CVE-2025-41236, CVE-2025-41237, CVE-2025-41238) kaynak.
Her biri, CVSS: 3.1/av: l/ac: l/pr: n/ui: n/s: c/c: h/i: h/a: h ile aynı CVSS v3.1 skorlarını taşır, bu da yerel erişim gereksinimlerini gösteren ancak tam sistem uzlaşması potansiyeli.
Ek olarak, CVE-2025-41239, CVSS V4 üzerinde 8.2 olarak derecelendirilen hassas bellek içeriğini sızdırabilen vSockets’te bir CWE-908 (Entiteşizsiz Kaynak Kullanımı) güvenlik açığını temsil eder.
Bu güvenlik açıkları, tüm endüstriyel sanallaştırma altyapılarını potansiyel olarak tehlikeye atarak hipervizör ana bilgisayarlarında kod yürütülmesini toplu olarak etkinleştirir.
Hafifletme
CISA, bu güvenlik açıkları küresel olarak kritik üretim sektörlerini etkilediğinden, derinlemesine savunma stratejilerinin uygulanmasını hemen vurgulamaktadır.
Kuruluşlar, ICS cihazlarının İnternet erişiminden ve iş ağlarından izole edilmesini sağlayarak ağ segmentasyonuna öncelik vermelidir.
Rockwell Systems için, aktif yönetilen hizmet sözleşmeleri olan kullanıcılar doğrudan iyileştirme desteği alırken, diğerleri Broadcom’un VMware yamaları için güvenlik danışmanlarına danışmalıdır.
Her iki güvenlik açığı seti için aktif bir sömürü bildirilmemiştir, bu da kuruluşlara potansiyel tehdit oyuncusu aktörün keşfi ve bu yüksek etkili saldırı vektörlerinin silahlandırılmasından önce koruyucu önlemler uygulamak için kritik bir pencere sunmaktadır.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches