Rockwell Automation, Arena simülasyon yazılımında saldırganların kötü amaçlı kodları uzaktan yürütmesine izin verebilecek üç kritik bellek bozulması güvenlik açıkını açıkladı.
Rutin dahili test sırasında keşfedilen güvenlik açıkları, Arena Simülasyonu 16.20.09 ve daha önceki tüm sürümlerini etkiler ve potansiyel olarak endüstriyel otomasyon ortamlarını önemli güvenlik risklerine maruz bırakır.
Kritik güvenlik kusurları tanımlandı
CVE-2025-7025, CVE-2025-7032 ve CVE-2025-7033 olarak izlenen üç güvenlik açığı, hepsi 10 üzerinden 8,4’lük CVSS 4.0 baz skorları ile yüksek bir şiddet derecesi taşır.
CVE kimliği | Tip | CVSS 4.0 puanı | CWE sınıflandırması | Saldırı vektörü |
CVE-2025-7025 | Boundsed okundu | 8.4 | CWE-125 | Yerel/kullanıcı etkileşimi gerekli |
CVE-2025-7032 | Yığın arabellek taşması | 8.4 | CWE-121 | Yerel/kullanıcı etkileşimi gerekli |
CVE-2025-7033 | Yığın arabelleği taşması | 8.4 | CWE-122 | Yerel/kullanıcı etkileşimi gerekli |
Güvenlik araştırmacısı Michael Heinzl, saldırganların yazılımın hafıza tahsisi süreçlerini manipüle etmesini sağlayan hafıza istismarı sorunlarını içeren bu kusurları bildirdi.
Her güvenlik açığı, tehdit aktörlerinin Arena simülasyonunu özel olarak hazırlanmış dosyalar aracılığıyla belirlenen bellek sınırlarının ötesinde okumaya ve yazmaya zorlamasına izin verir.
Başarılı sömürü, kullanıcı etkileşimini – kötü amaçlı bir dosya veya web sayfası açma gibi – gerektirirken, potansiyel sonuçlar şiddetlidir.
Bu kusurları başarıyla kullanan saldırganlar, hedeflenen sistemlerde keyfi kod yürütebilir veya etkilenen ortamlardan hassas bilgileri ifşa edebilir.
Üç CVE, farklı bellek yolsuzluk saldırıları türlerini temsil eder. CVE-2025-7025, sınır dışı okuma işlemlerini içerirken, CVE-2025-7032 istismar yığın tabanlı tampon taşmalarını ve CVE-2025-7033 hedefleri yığın tabanlı arabellek taşmalarını hedefler.
Teknik farklılıklarına rağmen, her üç güvenlik açığı da benzer saldırı vektörlerini paylaşır ve kötü amaçlı kod yürütülmesini tetiklemek için kullanıcı etkileşimi gerektirir.
Rockwell Automation, her üç güvenlik açığını da ele alan Arena Simulation’ın 16.20.10 sürümünü yayınladı.
Şirket, özellikle simülasyon yazılımının operasyonel planlama ve sistem optimizasyonunda hayati bir rol oynadığı kritik endüstriyel ortamlarda faaliyet gösteren kuruluşlar için acil güncellemelerin önemini vurgulamaktadır.
Hemen yükseltemeyen kullanıcılar için Rockwell, dosya erişim izinlerini sınırlandırma, simülasyon sistemleri için İnternet bağlantısını kısıtlama ve kapsamlı uç nokta algılama ve yanıt çözümleri kullanma da dahil olmak üzere katı güvenlik protokollerinin uygulanmasını önerir.
Bu güvenlik açıkları, eski sistemlerin ve karmaşık entegrasyon gereksinimlerinin genellikle hızlı güvenlik güncellemelerini karmaşıklaştırdığı endüstriyel otomasyon yazılımındaki devam eden güvenlik zorluklarını vurgulamaktadır.
Arena simülasyonunu kullanan kuruluşlar, anında yama yapmaya öncelik vermeli ve simülasyon ortamlarının kapsamlı güvenlik değerlendirmelerini yapmalıdır.
Açıklama, Rockwell’in dış sömürü girişimlerinden ziyade iç testlerle keşfedilen güvenlik açığı raporlamasında şeffaflık taahhüdünü izlemektedir.
Şu anda, bu güvenlik açıklarının hiçbiri CISA’nın bilinen sömürülen güvenlik açığı veritabanında görünmemekte ve herhangi bir aktif sömürü kampanyası tespit edilmediğini göstermektedir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir