ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Oracle Agile Ürün Yaşam Döngüsü Yönetimi (PLM) yazılımında şiddetli bir serileştirme kırılganlığının (CVE-2024-20953) aktif olarak sömürülmesi konusunda acil bir uyarı yayınladı.
24 Şubat 2025’te CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklenen kusur, düşük ayrıcalıklı erişimi olan saldırganların, açılmamış sistemlerde keyfi kod yürütmesine ve potansiyel olarak tam ağ uzlaşmasına yol açmasına izin veriyor.
Federal ajanslar ve özel sektör kuruluşları, hafifletmeler uygulamak veya etkilenen sistemlerin kullanımını durdurmak için 17 Mart 2025’e kadar vardır.
Oracle Agile Güvenlik Açığı
Bu acil durumun merkezinde, saldırganların Java tabanlı Oracle Agile PLM platformundaki serileştirilmiş nesneleri manipüle etmesini sağlayan kritik bir sazizleşme kırılganlığı olan CWE-502 bulunmaktadır.
Horizon3.Ai’deki güvenlik analistleri, başarılı sömürünün standart kimlik doğrulama kontrollerini atladığını ve saldırganlara “Oracle Weblogic sunucusunun kimliği altında komutlar yürütme yeteneği” verdiğini açıklıyor.
Bu erişim seviyesi veri hırsızlığı, kurumsal ağlar arasında yanal hareket ve PLM sistemlerine bağlı olarak üretim tedarik zincirlerinin bozulmasını sağlayabilir.
CISA’nın danışmanlığı fidye yazılımı grubunun katılımını teyit etmese de, zamanlama operasyonel teknolojiye daha fazla siber suçlu odaklanmaya denk geliyor.
Endüstriyel güvenlik firması Claroty, ürün yaşam döngüsü yönetim sistemlerini hedefleyen saldırılarda yıllık% 78’lik bir artış olduğunu ve tehdit aktörlerinin fikri mülkiyet hırsızlığı veya üretim sabotajı için CVE-2024-20953’ten yararlanabileceğini gösteriyor.
Teknik Arıza ve Kurumsal Etkisi
Ocak 2025’te piyasaya sürülen Oracle’ın döngü dışı yaması, Agile PLM platformunun FileNet konnektörü aracılığıyla verileri nasıl işlediğini değiştiriyor.
Bununla birlikte, birçok kuruluş platformun kritik ERP ve CAD sistemleriyle entegrasyonu nedeniyle güncellemeleri geciktirmiştir.
Siber güvenlik danışmanı Aaron Sandeen, “Bu güvenlik açığı özellikle tehlikelidir, çünkü normal HTTP istekleri ile tetiklenebilir, bu da özel araçlar olmadan algılamayı zorlaştırır”.
Geri ihlal edilen sistemlerden ağ trafiğinin analizi, Java seansizasyon kusurundan yararlanmak için hazırlanmış .json dosyaları kullanan saldırganları ortaya çıkarır.
Vahşi doğada gözlemlenen sonraki yükler arasında kripto para madencileri, kobalt grev işaretçileri ve ürün planlarını kazımak için tasarlanmış özel kötü amaçlı yazılımlar bulunur.
ABD Savunma Sanayi Üssü (DIB), saldırganların gelişmiş silah sistemleri için teknik veri paketlerine eriştiği birden fazla olay bildirdi.
Oracle, Güvenlik Uyarısı 26547894’ün hemen uygulanmasını ve gereksiz FileNet Hizmetlerinin devre dışı bırakılmasını önerir.
Hızlı bir şekilde yamalayamayan kuruluşlar için, Illumio ve Guardicore gibi satıcılardan ağ segmentasyon çözümleri, kontrollü CAD dosya transferlerine izin verirken PLM örneklerini izole edebilir.
CISA, Trend Micro ve Fortinet’in güncellenmiş kurallarına sahip Web Uygulaması Güvenlik Duvarları (WAF) aracılığıyla sanal yama yapmanın geçici koruma sağladığını vurgulamaktadır.
Ajansın ücretsiz güvenlik açığı tarama hizmeti artık CVE-2024-20953 yapılandırmaları için özel çekler içeriyor.
Fortune 500 üreticilerinin% 89’u tarafından kullanılan Oracle Agile PLM ile güvenlik açığının erişimi havacılık, otomotiv ve elektronik sektörlerine uzanıyor.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here