Uç nokta güvenliği, Nesnelerin İnterneti Güvenliği
Güvenlik açığı, uzaktan kod enjeksiyon saldırılarını sağlayabilir
Prajeet Nair (@prajeaetspeaks) •
4 Haziran 2025
Işıklar, Schneider Electric Life sonu akıllı anahtarlarla donatılmış evlerde titremeye başladığında, şimdi Fransız şirketi bir yama almayacak uzaktan sömürülebilir bir güvenlik açığını açıkladığı için bilgisayar korsanları olabilir.
Ayrıca bakınız: Ondemand | Güvenilir bir AI yaklaşımı ile verilerinize yeni bir hayat solumak
Schneider Wiser Home Automation Cihazlarında bir kusur, saldırganların CVE-2023-4041 olarak izlenen kod veya atlama kimlik doğrulaması enjekte etmesini sağlar, 9.3 CVSS V4 baz skoru taşır. Giriş kopya işlemleri sırasında uygunsuz boyut kontrolünden kaynaklanan ve ürün yazılımı güncellemeleri sırasında kod enjeksiyonunu sağlayan bir tampon taşma güvenlik açığıdır. Wiser Avataron 6K Freelocate ve Wiser Cuadro H 5p Socket ürünlerini etkiler – hepsi yaşamın sonunda olan, Schneider’e müşterilere ürün yazılımı güncelleme işlevini devre dışı bırakmalarını veya ürünleri değiştirmelerini tavsiye eder.
Bu cihazlar endüstriyel otomasyon sistemlerine çekirdek değildir, ancak genellikle aynı ağlarda bulunurlar ve yanal hareket veya gözetim için giriş noktaları görevi görebilirler.
Schneider konuyu ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na bildirdi. CISA, bugüne kadar herhangi bir hackleme bildirilmedi, ancak saldırı kolaylığı ve enerji ve ticari sektörlerdeki varlık sahipleri için uzaktan istismar etme yeteneğinin endişelerini artırdığını söyledi.
Fransız çokuluslu, akıllı telefondan, akıllı telefondan, klimalara, televizyonlara ve aletlere bağlı elektrik anahtarlarını bir akıllı telefondan kontrol etmenin bir yolu olarak daha bilge marka akıllı anahtarları teşvik ediyor.
Savunmasız, Silikon Labs tarafından yapılan bir önyükleyicinin, ürün yazılımı güncellemelerinin bütünlük kontrolleri olmadan ayrıştırılmasına nasıl izin verdiğinden kaynaklanmaktadır. Bu, saldırganların yetkisiz kod enjekte etmeleri için kapıyı açar, potansiyel olarak kimlik doğrulamasını atlatır ve hedeflenen cihazların kontrolünü kazanır.
CISA, bu tür sistemlerin güvenlik duvarlarının arkasında izole edilmesini, ağa maruz kalmayı en aza indirmenizi ve VPN’ler gibi güvenli uzaktan erişim yöntemlerini kullanmanızı önerir.
Ayrı olarak, Schneider Electric’in EcoStrruxure Power Build Rapsody platformu, yığın tabanlı bir tampon taşmasına karşı da savunmasızdır. CVE -2025-3916 olarak izlenen kusur, kötü amaçlı bir proje dosyası – bir SSD dosyası – aracılığıyla keyfi kod yürütmek için saldırganlar tarafından kullanılabilir, ancak kullanıcı etkileşimi ve yerel erişim gerektirir.
Bu güvenlik açığı için CVSS V4 puanı 4.6’dır. Schneider 2.8.1 FR sürümünde bir yama yayınladı. Ev otomasyon cihazlarındaki kusurdan daha az şiddetli olmakla birlikte, bu güvenlik açığı, bir içeriden veya sosyal mühendislik yoluyla sömürülürse uzlaşmaya neden olabilir.