Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Endüstriyel Kontrol Sistemleri (ICS) dahil olmak üzere bir dizi platformdaki kritik güvenlik açıklarını ele alan birkaç önemli güvenlik danışmanı yayınladı.
Bu tavsiyeler, kullanıcılar ve yöneticiler, sömürülebilir güvenlik açıklarıyla ilişkili riskleri azaltmada önemlidir. CISA’nın proaktif yaklaşımı, kuruluşların en son tehditler ve onlara karşı korunmak için gerekli savunmalar konusunda iyi bilgilendirilmesini sağlar.
Schneider Electric EcoStrruxure Güç İzleme Uzmanı (PME) Danışma
CISA tarafından 27 Mart 2025’te yayınlanan önemli tavsiyelerden biri, Schneider Electric’in Ekosstruxure Güç İzleme Uzmanı (PME), özellikle A. Schneider Electric’in PME’sinde bir güvenlik açığı ile ilgili bir güvenlik açığı ile ilgili ICSA-25-037-01’dir. Bu güvenlik açığı, istismar edilirse, potansiyel olarak uzaktan kod yürütülmesine izin verirse, hassas altyapı sistemlerini tehlikeye atabilecek bir risk olabilir.
Güvenilmeyen verilerin (CWE-502) serileştirilmesi olarak tanımlanan kusur, veriler PME’nin web sunucusuna gönderildiğinde güvenli olmayan seansizasyon nedeniyle mevcuttur. CVE-2024-9005 olarak izlenen bu güvenlik açığı, 7.1 CVSS V3 taban skoruna ve CVSS V4 skoru 7.3’tür. Başarılı bir saldırı, kötü niyetli aktörlere, SYS’nin bütünlüğünü zayıflatarak kod kodunu uzaktan yürütme yeteneği verebilirTEM ve güvenliği tehlikeye atma.
Schneider Electric, etkilenen kullanıcılar için hafifletmelerle yanıt verdi. PME 2022 ve Prior kullanıcıları Schneider Electric’in Müşteri Bakım Merkezi’nden bir sıcaklık alabilirler. Buna ek olarak, kullanıcılar en son PME sürümlerine yükseltme ve ağ izolasyonu ve sistemlerin güvenlik duvarlarının arkasında korunmasını sağlamak da dahil olmak üzere endüstri standart siber güvenlik en iyi uygulamalarını takip etmeleri istenir.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna yeni güvenlik açığı ekler
Tavsiyelere ek olarak CISA, bilinen sömürülen güvenlik açıkları kataloğunu vahşi doğada aktif olarak sömürülen yeni güvenlik açıklarıyla da güncelledi. Bu katalog, ajanslar ve işletmeler için kritik bir kaynaktır ve kötü niyetli aktörler tarafından hedeflenen güvenlik açıkları için yamalara öncelik vermelerine yardımcı olur.
Bu katalogdaki en son giriş, Google Chrome’u etkileyen yüksek şiddetli bir güvenlik açığı olan CVE-2025-2783’tür. Mojo bileşeninde keşfedilen bu kusur, saldırganların Chrome’un 134.0.6998.177’den önce Windows sürümlerindeki kum havuzlama mekanizmalarını atlamasına izin verir.
Güvenlik açığı, Mojo’daki yanlış tutamak yönetiminin bir sonucudur ve bir saldırganın kum havuzundan kaçmasına ve sistemde keyfi kod yürütmesine izin verebilir. Chrome kullanıcılarına, riski azaltmak için tarayıcılarını 134.0.6998.177 veya daha sonraki sürümlere güncellemeleri tavsiye edilir.
Sitecore CMS ve Experience Platformunda Desarizasyon Güvenlik Açıkları
CISA ayrıca, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2019-9874 ve CVE-2019-9875 olmak üzere iki serileştirme güvenlik açığı ekledi. Sitecore CMS’de ve Sitecore Experience Platformunda (XP) bulunan bu güvenlik açıkları, saldırganların güvencesiz bir şekilde düzensiz verilerle keyfi kod yürütmesine izin verebilir.
CVE-2019-9874 Sitecore CMS sürümleri 7.0 ila 7.2 ve Sitecore XP sürümleri 7.5 ila 8.2, CVE-2019-9875, Sitecore 9.1’e kadar sürümleri etkiler. Her iki kusur da Sitecore anti-CSRF modülünde, ve saldırganlar bir HTTP post parametresine özel hazırlanmış serileştirilmiş bir .NET nesnesi göndererek bunları kullanabilir.
Bu güvenlik açıkları kritiktir, çünkü etkilenen sistemlerin güvenliğini tehlikeye atarak, kimlik doğrulanmamış saldırganlara (CVE-2019-9874 durumunda) (CVE-2019-9874 durumunda) veya kimlik doğrulamalı saldırganlara (CVE-2019-9875’te) rastgele kod yürütmesine izin verebilirler (CVE-2019-9875’te).
Bilinen sömürülen güvenlik açıklarını azaltmanın önemi
CISA’nın bilinen sömürülen güvenlik açıkları kataloğuyla ilgili güncellemeleri, kuruluşların siber suçlular tarafından aktif olarak hedeflenen güvenlik açıklarını ele almaları için kritik ihtiyacı vurgulamaktadır. Sistemleri en son güvenlik yamalarıyla güncel tutarak ve bilinen riskleri azaltarak, kuruluşlar başarılı saldırılar olasılığını azaltabilir.
Örneğin, Google Chrome’daki CVE-2025-2783 güvenlik açığı, kullanıcıları korumak için tasarlanmış güvenlik özelliklerini atlamaya yol açabilirken, Sitecore CMS ve XP’deki güvenlik açıkları, saldırganların web uygulamalarını tehlikeye atmasına ve hassas verilere yetkisiz erişim kazanmasına izin verebilir. Bunların her ikisi de, görünüşte küçük güvenlik açıklarının yıkıcı etki için nasıl kullanılabileceğine dair ana örneklerdir.
Çözüm
Schneider Electric’in EkoStrruxure Güç İzleme Uzmanı (PME), Google Chrome ve Sitecore CMS/XP kullanıcıları, önerilen yamaları ve hafifletmeyi uygulamaya teşvik edilir. Bunu yaparak, bu kritik güvenlik açıklarından yararlanan siber saldırılara düşme olasılığını azaltabilirler.
CISA, CVE-2025-2783, CVE-2019-9874 ve CVE-2019-9875 dahil olmak üzere, bilinen sömürülen güvenlik açıkları kataloğuna eklenen artan sayıda güvenlik açıklaması, bilinen kusurların yaygın olarak kullanıldığı kusurlar tarafından ortaya konan devam eden tehditlerin hatırlatıcısı olarak, geniş çapta kullanılmış yazılımı ve donanımı hedefleyen siber-tehdidi olarak hatırlatır. Her zaman olduğu gibi, CISA tüm kuruluşları bilgilendirmeye ve sistemlerini korumak için derhal hareket etmeye çağırıyor.