ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) dört yeni endüstriyel kontrol sistemi (ICS) danışmanı yayınladı. Bu tavsiyeler, Siemens, Tigo Energy ve EG4 elektroniklerinden yaygın olarak kullanılan ICS ekipmanlarında birden fazla güvenlik açıkını ortaya koymaktadır.
ICSA-25-231-01 ve ICSA-25-231-02, Siemens’in Desigo CC Ürün Ailesi, Sentron PowerManager ve Mendix SAML modülüne-küresel endüstriyel ortamlarda kullanılan kritik bileşenlere odaklanıyor.
CISA’nın danışmanlığı ICSA-25-231-01, Siemens Desigo CC ve Sentron PowerManager’da kullanılan bir yazılım lisanslama bileşeni olan Wibu Codemeter’i içeren bir güvenlik açığını (CVE-2025-47809) detaylandırıyor. CVSS V3.1 puanı 8.2 ile bu güvenlik açığı, kullanıcıların bir sistem yeniden başlatılması veya kurulum sonrası giriş gerektirmeden Windows Gezgini’nden Windows Gezgini’nden yararlanabileceği en az ayrıcalık ihlali (CWE-272).
Desigo CC (V5.0 ila V8) ve Sentron PowerManager’ın (V5 ila V8) tüm versiyonları etkilenir. Siemens, CodeMeter sürüm 8.30A’nın güncellenmesini ve sorunu azaltmak için sistemin yükleme sonrası yeniden başlatılmasını önerir. Siemens ilk olarak CISA’ya karşı bu güvenlik açığını açıkladı ve ürün sayfasında daha fazla bilgiye sahip.
Mendix SAML modülünde uzaktan sömürü
ICSA-25-231-02’de, Siemens ‘Mendix SAML modülünün, kimliksiz saldırganların belirli tek oturum açma (SSO) konfigürasyonlarında kullanıcı hesaplarını kaçırmasına izin verebilecek şifreleme imzasının (CWE-347) uygunsuz bir doğrulamasını içerdiği bulunmuştur.
CVE-2025-40758 olarak etiketlenen ve CVSS v3.1’de 8.7 puanlama, güvenlik açığı V3.6.21 (Mendix 9.24 için), v4.0.3 (MENDIX 10.12) ve v4.1.2 (Mendix 10.21) öncesinde birden fazla mendix SAML sürümünü etkiler. Siemens, şifreleme ayarlarının etkinleştirilmesini ve modülün güncellenmesini tavsiye eder. Sorun öncelikle kritik imalat sektörünü etkilemektedir ve ayrıca Siemens tarafından CISA’ya doğrudan bildirilmiştir.
Tigo Energy Cloud Connect, aktif sömürü altında gelişmiş
ICSA-25-217-02 (Güncelleme A), Tigo Energy’s Cloud Connect Advanced (CCA) cihazında, güneş enerjisi yönetim sistemleri için gerekli olan çok sayıda yüksek riskli güvenlik açıklarını vurgular.
CVSS V4 baz skoru 9.3 ile en kritik güvenlik açığı (CVE-2025-7768), yetkisiz erişim ve idari kontrole izin veren sert kodlanmış kimlik bilgilerinin (CWE-798) kullanımını içerir. Diğer ciddi sorunlar şunları içerir:
- CVSS V3.1 skoru 8.8 olan komut enjeksiyonu (CVE-2025-7769, CWE-77), şimdi kamuya açık olarak kullanılabildiği doğrulandı.
- Tahmin edilebilir oturum kimlikleri (CVE-2025-7770, CWE-337), saldırganların kimlik doğrulamasını atlamasını ve hassas işlevlere erişmesini sağlar.
Bu kusurlar Cloud Connect Advanced Sürümleri 4.0.1 ve önceki sürümleri etkiler. Tigo Energy aktif olarak yamalar geliştiriyor ve kullanıcıları geçici güvenlik önerileri için yardım merkezine danışmaya çağırıyor. CISA, ICS ağlarının izole edilmesini tavsiye ediyor, kısıtlamaİnternet erişimi ve potansiyel güvenlik açıkları nedeniyle VPN’lerin dikkatli kullanılması.
EG4 elektronik invertörleri birden fazla güvenlik riski içerir
ICSA-25-219-07 (Güncelleme A), dünya çapında konut ve ticari güneş enerjisi tesislerinde kullanılan EG4 elektronik invertör sistemlerindeki kritik kusurları açıklar. Güvenlik açıkları şunları içerir:
- Hassas Verilerin Clear Metin İletimi (CVE-2025-52586, CWE-319)
- Integrity Check olmadan kod indirin (CVE-2025-53520, CWE-494)
- Gözlemlenebilir tutarsızlık (CVE-2025-47872, CWE-203)
- Kimlik doğrulama girişimlerinin uygunsuz kısıtlanması (CVE-2025-46414, CWE-307)
CVSS V4 skoru, bu kusurların şiddetini yansıtarak 9.2’ye kadar yükselir. Saldırganlar şifrelenmemiş komutları kesebilir, kötü amaçlı ürün yazılımı yükleyebilir, pin kodlarında kaba kuvvet saldırıları yapabilir veya Access Configuration SGüvensiz API’ler aracılığıyla ettings.
Bu güvenlik açıkları aşağıdaki modellerin tüm sürümlerini etkiler:
- EG4 12kpv, 18kpv, Flex 21, Flex 18
- EG4 6000XP, 12000XP
- EG4 Gridboss
EG4, kayıt uç noktası yanıtlarını standartlaştırma ve kimlik doğrulama girişimlerini sınırlandırma dahil olmak üzere bazı sorunları sunucu tarafı düzeltmeleri yoluyla ele almıştır. Ancak, şirket hala 15 Ekim 2025’e kadar yeni donanım bekleniyor.
CISA, ICS operatörlerinden eylemi çağırıyor
CISA, ICS ortamlarının altyapıdaki kritik rolleri nedeniyle siber aktörler tarafından giderek daha fazla hedeflendiğini vurgulamaktadır. Bu özel güvenlik açıklarına bağlı olarak onaylanmış büyük ölçekli istismarlar olmasa da (şu anda Tigo’nun durumunda bilinen biri hariç), CISA aşağıdaki azaltma stratejilerini önermektedir:
- İnternet’e bakan ağlardan IC’lerin izole edilmesi.
- Cihazları ve yazılımı en son güvenli sürümlere güncelleme.
- Azaltma stratejilerini dağıtmadan önce risk değerlendirmeleri yapmak.