Rockwell Automation, Verve Varlık Yöneticisi yazılımında endüstriyel sistemleri potansiyel sömürüye maruz bırakarak kritik bir kusur belirledi.
CVE-2025-1449 olarak izlenen güvenlik açığı, kapsayıcı hizmet ortamında keyfi komutlar yürütmeleri için idari erişimi olan saldırganların sağlanmasını sağlar.
Bu kusur, özellikle endüstriyel kontrol kurulumlarında etkilenen sistemler üzerindeki yüksek potansiyel etkisi nedeniyle kritik olarak derecelendirilmiştir.
Güvenlik Açığı Detayları
Güvenlik açığı, CVE-2025-1449, Verve Varlık Yöneticisi’nin Legacy Aracless Cihaz Envanteri (ADI) özelliğinin idari web arayüzünde yetersiz giriş sterilizasyonundan kaynaklanmaktadır.
Sürüm 1.36’dan beri kullanımdan kaldırılan bu özellik, belirli değişkenleri yeterince doğrulayamıyor ve saldırganların onları kötü niyetli bir şekilde değiştirmesine izin veriyor.
Sonuç olarak, idari ayrıcalıklara sahip bir saldırgan, hizmet konteyneri bağlamında keyfi komutlar yürütebilir ve potansiyel olarak sistem uzlaşmasına neden olabilir.
- CVSS Base Skor V3.1: 9.1 (kritik)
- CVSS vektörü: CVSS: 3.1/AV: N/AC: L: H/UI: C: H/I: H/A: H/A: H
- CVSS Base Puanı V4.0: 8.9
- CWE: CWE-1287: Belirtilen giriş türünün uygunsuz doğrulanması
Güvenlik açığı şu anda bilinen sömürülen güvenlik açığı (KEV) veritabanında görünmemektedir ve vahşi doğada aktif olarak sömürüldüğüne dair hiçbir gösterge yoktur.
Yine de, sömürü potansiyeli, özellikle endüstriyel kontrol sistemleri gibi hassas ortamlarda önemlidir.
Etkilenen ürünler
Aşağıdaki tablo etkilenen ürün sürümlerini ve ilgili sabit yazılım revizyonunu özetlemektedir:
| Etkilenen ürün | Etkilenen sürüm (ler) | Yazılım revizyonunda düzeltildi |
| Verve Varlık Yöneticisi | <= 1.39 | V1.40 |
Rockwell Automation, CVE-2025-1449’u ele almak için Verve Varlık Yöneticisi’nin 1.40 sürümünü yayınladı. Etkilenen sürümleri (1.39 veya daha önceki) çalışan müşterilerin, sömürü riskini azaltmak için derhal yükseltmeleri istenir.
Hemen yükseltilemeyen kuruluşlar için güvenlik en iyi uygulamaları uygulamak önerilir. Ancak, bu güvenlik açığı için belirli bir geçici çözüm sağlanmamıştır.
Kullanıcıların sistemlerine ayrıcalıklı erişimi yakından izlemeleri ve katı kimlik doğrulama kontrollerini uygulamaları tavsiye edilir.
CVE-2025-1449’un keşfi, endüstriyel yazılımlarda zamanında yama yönetimi ve güvenli kodlama uygulamalarının kritik öneminin altını çizmektedir.
Başarılı bir şekilde sömürülürse, bu güvenlik açığı saldırganların yüksek erişim elde etmesine ve kötü niyetli eylemler yürütmesine izin verebilir ve Verve Varlık Yöneticisi’nin konuşlandırıldığı ortamlardaki temel işlemleri potansiyel olarak bozabilir.
CVSS taban skoru 9.1 ile bu güvenlik açığı önemli bir risk profiline sahiptir. Kuruluşlara, özellikle güvenlik açıklarının güvenlik ve operasyonlar için geniş kapsamlı sonuçları olabileceği endüstriyel kontrol sistemlerinde yamaların uygulanmasına öncelik vermeleri hatırlatılır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free