Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Endüstriyel Video ve Kontrol’ün Longwatch video gözetim ve izleme sistemini etkileyen kritik bir uzaktan kod yürütme güvenlik açığı hakkında tavsiye niteliğinde bir uyarı yayınladı.
Bu kusur, kimliği doğrulanmamış saldırganların SİSTEM düzeyindeki ayrıcalıklarla rastgele kod yürütmesine olanak tanıyor ve etkilenen platformu kullanan kuruluşlar için önemli riskler oluşturuyor.
Kritik Güvenlik Açığı Ayrıntıları
CVE-2025-13658 olarak tanımlanan güvenlik açığı, kod oluşturma üzerindeki uygunsuz kontrolden kaynaklanıyor ve saldırganların, kimliği doğrulanmamış HTTP GET istekleri yoluyla açıktaki bir uç noktadan yararlanmasına olanak tanıyor.
| CVE Kimliği | CVSS v3.1 Puanı | CVSS v4 Puanı | Şiddet |
|---|---|---|---|
| CVE-2025-13658 | 9.8 | 9.3 | Kritik |
Güvenlik açığı Longwatch’ın 6.309’dan 6.334’e kadar olan sürümlerini etkiliyor. Her ikisi de kritik şiddet olarak sınıflandırılan CVSS v3.1 puanı 9,8 ve CVSS v4 puanı 9,3’tür.
Güvenlik açığı özellikle tehlikelidir çünkü kimlik doğrulama gerektirmez, saldırı karmaşıklığı düşüktür ve uzaktan kullanılabilir.
Başarılı bir şekilde yararlanma, saldırganlara yükseltilmiş SİSTEM düzeyinde ayrıcalıklara sahip uzaktan kod yürütme yetenekleri sağlar ve potansiyel olarak tüm gözetim altyapısının tehlikeye atılmasına neden olur.
Güvenlik açığı, dünya çapındaki dağıtımlarla Enerji, Su ve Atık Su Sistemleri de dahil olmak üzere kritik altyapı sektörlerini etkiliyor.
Etkilenen sürümlerde kod imzalama ve yürütme kontrollerinin bulunmaması, saldırganların uygun doğrulama olmadan kötü amaçlı kod çalıştırmasına olanak tanır ve bu da sistemin tamamen tehlikeye girmesine yol açar.
Endüstriyel Video ve Kontrol, kullanıcıların derhal Longwatch 6.335 veya daha yeni bir sürüme yükseltmelerini şiddetle tavsiye eder.
CISA, kuruluşlara ağ açıklarını en aza indirmelerini, kontrol sistemlerini güvenlik duvarlarının arkasında izole etmelerini ve güncellenmiş VPN çözümleri aracılığıyla güvenli uzaktan erişim uygulamalarını tavsiye ediyor.
Kuruluşlar savunma önlemlerini uygulamaya koymadan önce kapsamlı bir etki analizi yapmalıdır.
Endişeli bir OT mühendisi, güvenlik açığını sorumlu bir şekilde açıkladı. Şu anda CISA’ya herhangi bir kamu kullanımı bildirilmemiştir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.