Birden fazla Mitsubishi elektrikli klima sisteminde kritik bir güvenlik açığı keşfedilmiştir, bu da hack’lerin kimlik doğrulamasını atlamasına ve etkilenen birimleri uzaktan kontrol etmesine izin verir.
CVE-2025-3699 olarak tanımlanan kusur, 26 Haziran 2025’te Mitsubishi Electric tarafından açıklandı ve şiddetini gösteren maksimum CVSS taban skoru verildi.
Kimlik Doğrulama Bypass, bina HVAC sistemlerini ortaya çıkarır
Güvenlik açığı, etkilenen klima modellerinin web arayüzlerindeki kritik işlevler için eksik kimlik doğrulamasından kaynaklanmaktadır.
.png
)
İstismar edilirse, bir saldırgan yetkisiz erişim kazanabilir, sistem ayarlarını manipüle edebilir, hassas bilgileri ifşa edebilir ve hatta cihaz ürün yazılımına kurcalamayabilir.
Bu, ofislerde, veri merkezlerinde veya bu sistemleri kullanarak herhangi bir binada iklim kontrolünü bozabilir, güvenlik, gizlilik ve operasyonel süreklilik riskleri oluşturabilir.
Etkilenen çok çeşitli ürünler
Kusur, aşağıdaki modeller ve sürümler dahil ancak bunlarla sınırlı olmamak üzere, Mitsubishi elektrikli klima kontrolörlerinin geniş bir dizisini etkiler:
- G-50, G-50-W, G-50A, GB-50, GB-50A, GB-24A (Ver. 3.37 ve prior)
- G-150AD, AG-150A-A, AG-150A-J, GB-50AD, GB-50ADA-A, GB-50ADA-J (Ver. 3.21 ve Prior)
- EB-50GU-A, EB-50GU-J (Ver. 7.11 ve Prior)
- A-200J, A-200A, A-200E, A-50J, A-50A, A-50E, EW-50J, EW-50J, EW-50A, TE-50A, TE-50A, TW-50A (Ver. 8.01 ve Prior)
- CMS-RMD-J (ver. 1.40 ve prior)
Mitsubishi Electric, sömürü riskinin büyük ölçüde sistemin nasıl yapılandırıldığına bağlı olduğunu not eder.
Klima denetleyicileri güvenli bir intranet içinde dağıtılırsa veya bir VPN tarafından korunursa, güvenlik açığı internetten yararlanamaz.
Bununla birlikte, uygun izolasyon veya VPN koruması olmadan harici ağlara maruz kalan sistemler önemli risk altındadır.
Hemen yama yok, hafifletmeler öneriliyor
Şu anda, en çok etkilenen ürünler için sabit bir sürüm yoktur. Mitsubishi Electric, bazı modeller için geliştirilmiş sürümler hazırlıyor, ancak müşterileri anında hafifletme adımları atmaya çağırıyor:
- Güvenilmeyen ağlardan ve ana bilgisayarlardan erişimi kısıtlayın.
- Hem klima sistemlerine hem de kendilerine bağlı bilgisayarlara fiziksel erişimi sınırlayın.
- Sistemlere erişmek için kullanılan bilgisayarların güncel antivirüs yazılımı, işletim sistemleri ve web tarayıcıları ile korunduğundan emin olun.
Güvenlik açığı güvenlik araştırmacısı Mihály Csonka tarafından bildirildi. Mitsubishi Electric, belirli modeller için güncellemeler üzerinde çalışıyor ve tüm müşterilere sistem yapılandırmalarını gözden geçirmelerini ve yetkisiz erişimi önlemek için önerilen hafifletmeler uygulamalarını tavsiye ediyor.
Mitsubishi elektrikli klima sistemlerini kullanan kuruluşlar, ağlarını güvence altına almak ve daha fazla rehberlik için yerel Mitsubishi elektrik temsilcilerine danışmak için hızla hareket etmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin