Siber güvenlik araştırmacıları, kötü niyetli aktörlerin duyarlı sistemlerin kontrolünü ele geçirmesine izin verebilecek, operasyonel teknoloji (OT) ortamlarında kullanılan bir denetleyici kontrol ve veri toplama (SCADA) sistemi olan MyScada MyPro’yu etkileyen iki kritik kusurun ayrıntılarını açıkladılar.
İsviçre güvenlik şirketi Prodaft, “Bu güvenlik açıkları, istismarsa, endüstriyel kontrol ağlarına yetkisiz erişim sağlayabilir, bu da potansiyel olarak ciddi operasyonel aksamalara ve finansal kayıplara yol açabilir.” Dedi.
Her ikisi de CVSS V4 puanlama sisteminde 9.3 olarak derecelendirilen eksikliklerin listesi aşağıdadır –
- CVE-2025-20014 – Bir işletim sistemi komutu enjeksiyon güvenlik açığı, bir saldırganın etkilenen sistemde keyfi komutları yürütmesine izin verebilecek bir sürüm parametresi içeren özel hazırlanmış posta istekleri aracılığıyla
- CVE-2025-20061 – Bir işletim sistemi komutu enjeksiyon güvenlik açığı, bir saldırganın etkilenen sistemde keyfi komutlar yürütmesine izin verebilecek bir e -posta parametresi içeren özel hazırlanmış posta istekleri aracılığıyla
İki kusurdan herhangi birinin başarılı bir şekilde kullanılması, bir saldırganın sistem komutlarını enjekte etmesine ve keyfi kod yürütmesine izin verebilir. Sorunlar aşağıdaki sürümlerde ele alındı -
- MyScada Pro Manager 1.3
- MyScada Pro Runtime 9.2.1
Prodaft’a göre, her iki güvenlik açığı da kullanıcı girişlerini sterilize edememe, böylece bir komut enjeksiyonuna kapıyı açar.
Şirket, “Bu güvenlik açıkları SCADA sistemlerindeki kalıcı güvenlik risklerini ve daha güçlü savunmalara duyulan ihtiyacı vurguluyor.” Dedi. “Sömürü operasyonel aksamalara, mali kayıplara ve güvenlik tehlikelerine yol açabilir.”
Kuruluşların en son yamaları uygulaması, SCADA sistemlerini BT ağlarından izole ederek ağ segmentasyonunu zorlamaları, güçlü kimlik doğrulamasını uygulayarak ve şüpheli etkinlikleri izlemeleri önerilir.