Rockwell Automation, Arena® simülasyon yazılımında, tehdit aktörlerinin etkilenen sistemlerde uzaktan keyfi kod yürütmesine izin verebilecek üç kritik bellek bozulması güvenlik açığı açıkladı.
CVE-2025-7025, CVE-2025-7032 ve CVE-2025-7033 olarak tanımlanan güvenlik kusurları, 8.4 yüksek CVSS 4.0 taban skoru taşır ve 16.20.09 ve prior tüm sürümlerini etkiler.
Güvenlik açıkları, güvenlik araştırmacısı Michael Heinzl tarafından rutin test sırasında dahili olarak keşfedildi ve 5 Ağustos 2025’te yayınlanan 16.20.10 sürümünde ele alındı.
Key Takeaways
1. Three critical vulnerabilities in Rockwell Arena® Simulation enable remote code execution.
2. Exploitation requires user interaction with malicious files or websites.
3. Update immediately or implement strict file handling controls.
Rockwell Arena Hafıza Yolsuzluğu Kusurları
Yeni açıklanan üç güvenlik açıkları, Arena simülasyonunun tahsis edilen bellek sınırlarının ötesinde okumaya ve yazmaya zorlayabilen ciddi bellek kötüye kullanımı sorunlarını temsil eder.
CVE-2025-7025, sınır dışı bir okuma güvenlik açığı (CWE-125) içerirken, CVE-2025-7032, yığın bazlı bir tampon taşması (CWE-121) ve CVE-2025-7033’ten yararlanır ve bir yığın bazlı tampon taşması (CWE-122) kaldırır.
Her üç kusur da CVSS: L/AC: L/AT: N/PR: N/UI: A/VC: H/VI: H/VA: H/SC: N/SI: H/VA: H/SC: H/Sc: H/Sc: H/Sc: H/Sc: H/Sc: N/SA: N’yi paylaşarak, kullanıcı etkileşimi gerektiren yerel saldırı vektörlerini, kötü niyetli dosyalar veya web sayfaları yoluyla etkileşim gerektirir.
Saldırı metodolojisi, sosyal mühendisliğin kullanıcıları özel olarak hazırlanmış dosyaları açmaya veya tehlikeye atılan web sitelerini ziyaret etmelerini gerektirir.
Başarılı olduktan sonra, tehdit aktörleri, hedeflenen sistemin gizliliği, bütünlüğü ve mevcudiyeti üzerinde yüksek etkiye sahip keyfi kod yürütme sağlayabilir.
Güvenlik açıkları, yüksek ayrıcalıklar gerektirmez, bu da onları üretim ve süreç optimizasyonu için yaygın olarak dağıtıldığı kurumsal ortamlarda özellikle tehlikeli hale getirir.
Her güvenlik açığı, 7.8 CVSS 3.1 taban skoru taşır, saldırı vektörü düşük karmaşıklık (AC: L) ve gerekli ayrıcalıklara (PR: N) sahip yerel (AV: L) olarak sınıflandırılır.
Ortak Zayıflık Sınırlama (CWE) sınıflandırmaları, bilgi açıklamasına veya tam sistem uzlaşmasına yol açabilecek temel bellek yönetimi sorunlarını vurgulamaktadır.
Güvenlik analistleri, güvenlik açıklarının şu anda CISA’nın bilinen sömürülen güvenlik açığı (KEV) veritabanında listelenmemesine rağmen, yüksek CVSS puanlarının ve kod yürütme potansiyelinin derhal dikkat gerektirdiğini belirtmektedir.
| CVE kimliği | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-7025 | Arena® Simülasyonu Sınır Dışı Güvenlik Açığı | 7.8 | Yüksek |
| CVE-2025-7032 | Arena® Simülasyon Yığın Tabanlı Tampon Taşma | 7.8 | Yüksek |
| CVE-2025-7033 | Arena® Simülasyon Yığın Tabanlı Tampon Taşma | 7.8 | Yüksek |
Hafifletme
Rockwell Automation, her üç güvenlik açığının da ele alınması için Arena Simulation sürümünün 16.20.10 veya üstü derhal dağıtılmasını şiddetle önerir.
Hemen yükseltilemeyen kuruluşlar, dosya erişim izinlerini kısıtlamak, uygulama beyaz listeleme uygulamak ve şüpheli dosya işleme hakkında kullanıcı farkındalığı eğitimi almak da dahil olmak üzere kapsamlı güvenlik en iyi uygulamalarını uygulamalıdır.
Ağ segmentasyonu ve uç nokta algılama çözümleri, bu bellek yolsuzluk kusurlarını hedefleyen potansiyel sömürü girişimlerine karşı ek koruma katmanları sağlayabilir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın