Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunu OpenPLC ScadaBR’deki kritik bir kusuru içerecek şekilde resmi olarak güncelledi ve tehdit aktörlerinin onu vahşi ortamda aktif olarak silah haline getirdiğini doğruladı.
CVE-2021-26829 olarak tanımlanan güvenlik kusuru, ScadaBR’ın system_settings.shtm bileşeninden kaynaklanan bir Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığıdır. Güvenlik açığı ilk olarak birkaç yıl önce açıklanmış olsa da, 28 Kasım 2025’te KEV kataloğuna eklenmesi, endüstriyel kontrol ortamlarını hedef alan istismar faaliyetlerinde endişe verici bir yeniden canlanmanın sinyalini veriyor.
Güvenlik açığı, uzaktaki bir saldırganın sistem ayarları arayüzü aracılığıyla rastgele web komut dosyası veya HTML eklemesine olanak tanır. Bir yönetici veya kimliği doğrulanmış bir kullanıcı güvenliği ihlal edilmiş sayfaya gittiğinde, kötü amaçlı komut dosyası tarayıcı oturumunda yürütülür.
CWE-79 (Web Sayfası Oluşturma Sırasında Girdilerin Uygunsuz Şekilde Nötrleştirilmesi) kapsamında sınıflandırılan bu kusur, Operasyonel Teknoloji (OT) ağları için önemli riskler oluşturmaktadır.
Başarılı bir şekilde yararlanma, saldırganların kullanıcı oturumlarını ele geçirmesine, kimlik bilgilerini çalmasına veya SCADA sistemindeki kritik yapılandırma ayarlarını değiştirmesine olanak tanıyabilir. OpenPLC’nin endüstriyel otomasyon araştırması ve uygulaması için yaygın olarak kullanıldığı göz önüne alındığında, saldırı yüzeyi dikkate değerdir.
CISA, bu güvenlik açığının açık kaynak bileşenlerini, üçüncü taraf kitaplıklarını veya çeşitli ürünler tarafından kullanılan özel uygulamaları etkileyerek tehdidin kapsamını tam olarak tanımlamayı zorlaştırabileceğini belirtti.
Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında CISA, Federal Sivil Yürütme Organı (FCEB) kurumları için katı bir iyileştirme zaman çizelgesi oluşturmuştur. Bu kurumların 19 Aralık 2025’e kadar ağlarını CVE-2021-26829’a karşı korumaları gerekiyor.
CISA şu anda bu özel istismarı bilinen fidye yazılımı kampanyalarıyla ilişkilendirmemiş olsa da kurum, yama yapılmamış SCADA sistemlerinin karmaşık tehdit aktörleri için yüksek değerli hedefler olmaya devam ettiği konusunda uyarıyor.
Azaltmalar
Güvenlik ekipleri ve ağ yöneticilerinin aşağıdaki eylemlere öncelik vermeleri tavsiye edilir:
- Azaltımları Uygula: Satıcı tarafından sağlanan yamaları veya yapılandırma değişikliklerini hemen uygulayın.
- Üçüncü Taraf Kullanımını İnceleyin: Güvenlik açığı bulunan ScadaBR bileşeninin ağdaki diğer araçlara gömülü olup olmadığını belirleyin.
- Kullanımı Durdurun: Azaltımlar mevcut değilse veya uygulanamıyorsa, CISA, uzlaşmayı önlemek için ürünün kullanımının durdurulmasını tavsiye eder.
Kuruluşların, kod düzeyi ayrıntıları için düzeltmeye (Scada-LTS/Scada-LTS) yönelik GitHub çekme isteğini incelemeleri önerilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
