Rockwell Automation’ın Contrologix Ethernet modüllerinde, uzak saldırganların endüstriyel kontrol sistemlerinde kötü amaçlı kod yürütmesine izin verebilecek kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-7353 olarak tanımlanan güvenlik açığı, çoklu Contrologix iletişim modüllerini etkiler ve etkilenen sistemler için en yüksek risk seviyesini gösteren 10 üzerinden 9,8’lik ciddi bir CVSS skoru taşır.
Güvenlik Açığı Genel Bakış
Rockwell Automation, dahili rutin testler sırasında keşfettikten sonra 14 Ağustos 2025’te güvenlik kusurunu açıkladı.
Güvenlik açığı, piyasaya sürülen cihazlarda etkin kalan ve kötü niyetli aktörler için istenmeyen bir saldırı vektörü oluşturan web tabanlı bir hata ayıklayıcı aracısından kaynaklanmaktadır.
Saldırganlar belirli bir IP adresi kullanarak savunmasız web hata ayıklayıcısına bağlandıklarında, bellek dökümlerini gerçekleştirmek, sistem belleğini değiştirmek ve kritik endüstriyel süreçlerin yürütme akışını kontrol etmek için yetkisiz erişim kazanabilirler.
Etkilenen sistemler, endüstriyel otomasyon ortamlarında kritik bileşenler görevi gören çeşitli Contrologix Ethernet iletişim modüllerini içerir.
Bu modüller, programlanabilir mantık denetleyicileri ve imalat ve proses kontrol sistemlerindeki diğer ağa bağlı cihazlar arasındaki iletişimi kolaylaştırır.
Etkilenen sistemler ve etki
| Ürün modeli | CVE kimliği | Etkilenen sürümler | Sabit versiyon |
| 1756-EN2T/D | CVE-2025-7353 | 11.004 ve alt | 12.001 |
| 1756-E2F / C | CVE-2025-7353 | 11.004 ve alt | 12.001 |
| 1756-EN2TR/C | CVE-2025-7353 | 11.004 ve alt | 12.001 |
| 1756-EN3TR/B | CVE-2025-7353 | 11.004 ve alt | 12.001 |
| 1756-EN2TP/A | CVE-2025-7353 | 11.004 ve alt | 12.001 |
Güvenlik açığı, CWE-1188 altında sınıflandırılır: bir kaynağın güvensiz bir varsayılan olarak başlatılması, web hata ayıklayıcı işlevselliğinin üretim ortamlarında yanlış yapılandırıldığını gösterir.
CVSS vektör dizesi, güvenlik açığının kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden bir ağ bağlantısı üzerinden uzaktan sömürülebileceğini ve internete bağlı endüstriyel sistemler için özellikle tehlikeli hale getirilebileceğini ortaya koymaktadır.
Rockwell Automation, etkilenen tüm Contrologix modüllerinde güvenlik açığını ele almak için ürün yazılımı sürümü 12.001 sürümünü yayınladı.
Şirket, keşfin iç güvenlik test prosedürleri ile gerçekleştiğini ve proaktif güvenlik açığı tanımlama ve müşteri şeffaflığına olan bağlılıklarını gösterdiğini vurguladı.
Şu anda, güvenlik açığı için hiçbir geçici çözüm mevcut değildir ve bu da birincil savunma stratejisinin hemen yamalanmasını sağlar.
Etkilenen sistemleri işleten kuruluşlar, güvenlik riskini ortadan kaldırmak için düzeltilmiş ürün yazılımı sürümüne güncellemeye öncelik vermelidir.
Güvenlik açığı henüz bilinen sömürülen güvenlik açıkları veritabanına eklenmemiştir, bu da vahşi doğada aktif sömürünün doğrulanmadığını düşündürmektedir.
Bununla birlikte, kusurun kritik doğası ve uzaktan kod yürütme potansiyeli göz önüne alındığında, güvenlik uzmanları, bunun etkilenen tüm endüstriyel kontrol sistemleri için yüksek öncelikli bir yama çabası olarak ele alınmasını önermektedir.
AWS Security Services: 10-Point Executive Checklist - Download for Free