Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Veeder-Root’un TLS4B Otomatik Tank Gösterge Sistemindeki ciddi güvenlik açıklarına ilişkin kritik bir güvenlik uyarısı yayınladı.
23 Ekim 2025’te yayınlanan uyarı, saldırganların bu kusurlardan yararlanarak başta enerji sektörü olmak üzere dünya çapında kullanılan endüstriyel sistemlerin kontrolünü ele geçirebileceği konusunda uyarıyor.
İki Kritik Güvenlik Açığı Keşfedildi
Bitsight’taki güvenlik araştırmacıları TLS4B sisteminde iki tehlikeli güvenlik açığı tespit etti. İlk güvenlik açığı, komutlardaki özel öğelerin uygunsuz şekilde etkisiz hale getirilmesini içeriyor; bu da saldırganların sisteme kötü amaçlı kod yerleştirebileceği anlamına geliyor.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Ürün | CVSS v3.1 Puanı |
| CVE-2025-58428 | Komut Enjeksiyonu (CWE-77) | Veeder-Root TLS4B ATG Sistemi | 9.9 |
| CVE-2025-55067 | Tamsayı Taşması/Sarmalama (CWE-190) | Veeder-Root TLS4B ATG Sistemi | 7.1 |
Uzaktaki saldırganlar, geçerli kimlik bilgilerini kullanarak temeldeki Linux sisteminde sistem düzeyinde komutlar yürütebilir, potansiyel olarak tam kabuk erişimi elde edebilir ve ağ boyunca fark edilmeden hareket edebilir.
CVE-2025-58428 olarak takip edilen bu güvenlik açığına, ciddi riske işaret eden 10 üzerinden 9,4 gibi olağanüstü yüksek bir CVSS puanı verildi.
Güvenlik açığı özellikle tehlikelidir çünkü istismar edilmesi nispeten düşük karmaşıklık gerektirir ve sistemin SOAP tabanlı web hizmetleri arayüzü aracılığıyla internetten erişilebilir.
İkinci güvenlik açığı, sistemin Unix zaman değerlerini işleme biçimini etkileyen teknik bir kusur olan tamsayı taşması ile ilgilidir.
Sistem saati 19 Ocak 2038’e ulaştığında 13 Aralık 1901’e sıfırlanır. Bu zaman manipülasyonu, kimlik doğrulama hatalarına neden olabilir, oturum açma erişimi ve sızıntı tespiti gibi kritik sistem işlevlerini bozabilir ve yöneticileri tamamen kilitleyen hizmet reddi saldırılarını tetikleyebilir.
Veeder-Root TLS4B Otomatik Tank Gösterge Sistemi, özellikle enerji sektöründe olmak üzere dünya çapında kullanılmaktadır. Sürüm 11.A’dan önceki tüm sürümler, komut ekleme kusuruna karşı savunmasızdır. Eski sürümleri kullanan kuruluşlar doğrudan risk altındadır.
Veeder-Root, komut ekleme güvenlik açığını (CVE-2025-58428) gidermek için Sürüm 11.A’yı yayımladı. Kuruluşlar derhal bu yamalı sürüme yükseltme yapmalıdır.
Tamsayı taşması sorunu (CVE-2025-55067) için kalıcı bir düzeltme hâlâ geliştirilme aşamasındadır. Veeder-Root, kullanıma sunulana kadar en iyi ağ güvenliği uygulamalarının takip edilmesini önerir.
CISA, istismar riskini en aza indirmek için ek savunma önlemleri sağlar. Kuruluşlar, tüm kontrol sistemi cihazlarının internete maruz kalmasını en aza indirerek, onları güvenlik duvarlarının arkasında ve iş ağlarından uzak tutmalıdır.
Uzaktan erişim gerektiğinde, Sanal Özel Ağların (VPN’ler) güncel güncellemelerle kullanılması ek koruma sağlar.
CISA’ya göre, uyarı tarihi itibarıyla bu güvenlik açıklarının kamuya açık olarak kullanıldığı bilinen bir durum bildirilmemiştir.
Ancak, yüksek ciddiyet puanları ve kullanım kolaylığı göz önüne alındığında, kuruluşların bunu acil olarak ele alması gerekir. Uzmanlar, minimum kesintiyi sağlamak için herhangi bir savunma önlemi uygulamadan önce etki analizi yapılmasını öneriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.