Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) dün, SunPower’ın PVS6 güneş inverter serisinde, bitişik ağlara saldırganların cihazın tam kontrolünü kazanmasına izin veren kritik bir güvenlik açığı hakkında yüksek şiddetli bir uyarı (ICSA-25-245-03) yayınladı.
CVSS V4 ölçeğinde 10 üzerinden 9.4 olarak derecelendirilen güvenlik açığı, Bluetooth Düşük Enerji (BLE) servis arayüzündeki sert kodlanmış kimlik bilgilerinden kaynaklanmaktadır ve dünya çapında enerji altyapısı için acil bir risk oluşturmaktadır.
CISA’nın yönetici özeti, bu zayıflıktan başarılı bir şekilde yararlanmanın, rakiplerin ürün yazılımını değiştirmesini, ızgara ayarlarını değiştirmesini, güç üretimini devre dışı bırakmasını, yetkisiz SSH tünelleri oluşturmasını ve bağlı cihazları manipüle etmesini sağlayabileceği konusunda uyarıyor.
PVS6’nın konut ve ticari güneş enerjisi tesislerinde yaygın olarak konuşlandırılması göz önüne alındığında, sömürü enerji üretimini bozabilir, ekipmanlara zarar verebilir veya endüstriyel kontrol sistemlerine (ICS) daha geniş saldırıları kolaylaştırabilir.
SunPower PVS6 Birimleri Çalıştırma Ürün Yazılımı Sürümleri 2025.06 Build 61839 ve daha önceki olarak doğrulanmıştır.
CVE-2025-9696 olarak izlenen güvenlik açığı, BLE arayüzünde sabit kodlu şifreleme parametrelerinin ve genel protokol ayrıntılarının kullanımından kaynaklanmaktadır.
Bluetooth aralığında bir saldırgan – ideal koşullar altında yaklaşık 50 metre -, bakım işlemleri için tasarlanmış cihazın servis bağlantı noktasına erişmek için bu kimlik bilgilerini kullanabilir.
Güvenlik açığı düşük karmaşıklıkla kullanılabilir ve kullanıcı etkileşimi veya önceki ayrıcalıklar gerektirmediğinden, kritik altyapı için önemli bir tehdit oluşturmaktadır.
CISA, saldırı internet üzerinden uzaktan başlatılamasa da, birçok kurulumun uygun ağ segmentasyonu olmadan Bluetooth arayüzlerini ortaya çıkardığını ve cihazları kötü niyetli aktörlerin erişebileceği etkin bir şekilde yerleştirdiğini vurgulamaktadır.
Teknik detaylar
- Güvenlik Açığı: BLE Servis Arabiriminde Sabit Kodlu Kimlik Bilgilerinin Kullanımı (CWE-798).
- CVSS V3.1 Skor Taban: 9.6 (AV: A/AC: N/UI: N/S: C: H/I: H/A: H).
- CVSS V4 Skor Taban: 9.4 (AC: N/PR: N/UI: H/VC: H/VC: H/VI: H/SC: H/SI: H/AS: H).
- Araştırmacı: Dagan Henderson.
- Etkilenen sektörler: Küresel dağıtımlarla enerji.
- Çıkış tarihi: 2 Eylül 2025.
CISA’nın sabit kodlu kimlik bilgilerinin servis arayüzüne şifre çözme ve yetkisiz komutlara izin verdiği danışma detayları.
İçeri girdikten sonra, saldırganlar kötü amaçlı ürün yazılımı görüntüleri yükleyebilir, kalıcı arka fırınlar getirebilir ve diğer ICS varlıklarına erişimi korumak veya pivot sağlamak için güvenlik duvarı ve ağ ayarlarını yeniden yapılandırabilir.
Hafifletme
SunPower, CISA’nın koordinasyon taleplerine alenen cevap vermedi. Bu arada, CISA aşağıdaki savunma önlemlerini önermektedir:
- Ağ segmentasyonu: Tüm PVS6 cihazlarını güvenlik duvarlarının arkasına yerleştirin ve işletme ve genel ağlardan ayrı olarak yerleştirin. Bluetooth arayüzlerinin genel amaçlı cihazlardan devre dışı bırakıldığından veya izole edildiğinden emin olun.
- Sınır Maruziyeti: Kontrol arayüzleri için doğrudan internet erişimini kaldırın. Uzaktan servis gerektiğinde, sadece güncel ürün yazılımı ve çok faktörlü kimlik doğrulaması ile sadece sertleştirilmiş sanal özel ağlar (VPN’ler) aracılığıyla bağlantı gerektirir.
- Erişim Kontrolü: Sıkı Bluetooth eşleştirme politikalarını uygulayın, özel, halka açık olmayan kimlik bilgileri kullanarak ve yetkisiz BLE bağlantıları için sürekli olarak izleyin.
- Etki analizi: Operasyonel sürekliliği ve güvenliği doğrulamak için savunma önlemleri vermeden önce risk değerlendirmeleri yapın.
CISA ayrıca kuruluşları, “endüstriyel kontrol sistemleri siber güvenliğini derinlemesine savunma stratejileri ile iyileştirme” ve “hedefli siber saldırı tespiti ve azaltma stratejileri” gibi daha fazla rehberlik için ICS önerilen uygulama portalına yönlendirir.
Sosyal mühendisliğe karşı korunmak için kullanıcılar istenmeyen bağlantıları veya ekleri tıklamaktan kaçınmalı ve CISA’nın kimlik avı ve e -posta aldatmaca kaynaklarına danışmalıdır.
CISA, CVE-2025-9696’yı hedefleyen aktif sömürü raporları almamış olsa da, danışmanlık, güvenlik açığının yamalanana kadar tehlikeli kaldığını vurgulamaktadır. Kuruluşlara bunu yüksek öncelikli bir iyileştirme görevi olarak ele almaları istenir.
SunPower PVS6 cihazlarının sahipleri derhal ürün yazılımı sürümlerini doğrulamalı ve SunPower’dan güncellenmiş sürümler almalıdır.
CISA olay raporlarını izlemeye devam ettikçe, gözlemlenen herhangi bir kötü niyetli faaliyet, CISA’nın korelasyon ve daha geniş toplum koruması için olay müdahale ekibine bildirilmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.