ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), enerji sektöründe yakıt depolama ve yönetiminde kullanılan kritik bir araç olan Veeder-Root’un TLS4B Otomatik Tank Göstergesi Sistemindeki iki ciddi güvenlik açığını vurgulayan kesin bir tavsiye kararı yayınladı.
Bu kusurlardan yararlanılması durumunda saldırganların etkilenen cihazlarda sistem düzeyinde rastgele komutlar çalıştırmasına olanak tanınabilir ve bu da potansiyel olarak kritik altyapıda yaygın kesintilere yol açabilir.
Birincil güvenlik açığının CVSS v4 puanı 9,4 olup, özellikle temel kimlik bilgilerine sahip olanlar için uzaktan kolaylıkla yararlanılabilir ve düşük karmaşıklığa sahiptir.
Bitsight’tan araştırmacı Pedro Umbelino’nun bildirdiğine göre, küresel dağıtımlara sahip ABD merkezli bir şirket olan Veeder-Root, bu riskleri azaltmak için acil yükseltmeler yapılması çağrısında bulunuyor.
Güvenlik açıkları, sistemin komutları ve zaman değerlerini işlemesindeki kusurlardan kaynaklanıyor ve Linux tabanlı konsolları manipülasyona açık hale getiriyor.
Yer altı depolama tanklarının izlenmesi için dünya çapında kullanılan sistemlerde keşfedilen bu sistemler, endüstriyel kontrol sistemlerinin (ICS) karmaşık tehditlere karşı güvenliğinin sağlanmasında süregelen zorlukların altını çiziyor.
CISA, bu sorunların enerji operasyonlarını etkilediğini, aksama sürelerinin yakıt tedarik kesintilerine veya güvenlik tehlikelerine yol açabileceğini vurguluyor.
Güvenlik Açığı Dağılımı
11.A’dan önceki sürümler olan TLS4B sistemi, 2038 Unix dönemi sorunuyla ilgili bir komut enjeksiyon hatasından ve tamsayı taşmasından muzdariptir.
Komut enjeksiyonu (CWE-77), SOAP tabanlı web hizmetleri arayüzünde ortaya çıkar ve kimliği doğrulanmış uzak saldırganların kötü amaçlı öğeler eklemesine ve Linux kabuk komutlarını yürütmesine olanak tanır.
Bu, tam sistem erişimi sağlayarak veri hırsızlığına veya ağda daha fazla tehlikeye yol açabilir.
İkincil bir tamsayı taşması (CWE-190), 2038 devrinin ötesinde zaman değerlerini yanlış yönetir, saati 1901’e sıfırlar ve kimlik doğrulama hatalarına, günlük bozulmasına ve sızıntı tespitinin durdurulmasına neden olur.
Saldırganlar, sistem zamanını değiştirerek, yöneticileri kilitleyerek ve operasyonları aksatarak hizmet reddi (DoS) için bundan yararlanabilir.
| CVE Kimliği | Tanım | Etkilenen Ürünler | CVSS v3.1 Puanı (Vektör) | CVSS v4 Puanı (Vektör) |
|---|---|---|---|---|
| CVE-2025-58428 | SOAP arayüzü aracılığıyla Komut Enjeksiyonu (CWE-77); RCE ve kabuk erişimini sağlar. | TLS4B (11.A’dan önce) | 9,9 (AV: N/AC: L/PR: l/UI: n/s: c/c: h/i: h/a: h) | 9.4 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H) |
| CVE-2025-55067 | Unix zaman işlemede Tamsayı Taşması (CWE-190); DoS ve fonksiyonel aksamaları tetikler. | TLS4B (11.A’dan önce) | 7.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H) | 7.1 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N) |
Azaltmalar
Suistimal, uzaktan komut yürütmeye, yanal harekete, idari kilitlemelere ve DoS koşullarına yol açarak enerji altyapısının güvenilirliğini ciddi şekilde etkileyebilir.
Yalnızca geçerli kimlik bilgileri gerektiren giriş engellerinin düşük olması nedeniyle bu kusurlar, yama uygulanmamış sistemlere yönelik riskleri artırıyor.
Veeder-Root, komut enjeksiyon düzeltmesi için TLS4B sürüm 11.A’ya yükseltme yapılmasını önerir; taşma sorunu için bir yama geliştirilmektedir; bu nedenle kullanıcıların, cihazları yalıtma ve bağlantı noktalarını güvenlik altına alma gibi ağ güvenliği en iyi uygulamalarını takip etmesi gerekir.
CISA, kapsamlı risk değerlendirmeleri yaparken internete maruz kalmanın en aza indirilmesini, güvenlik duvarlarının dağıtılmasını ve uzaktan erişim için VPN’lerin kullanılmasını önerir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
