myPRO HMI/SCADA Ürününde Kritik Güvenlik Zafiyetleri Tespit Edildi

Güvenlik araştırmacıları tarafından, mySCADA myPRO ürününde, aralarında kritik olarak değerlendirilenleri de dahil olmak üzere bir dizi güvenlik zafiyeti tespit edilmiştir. mySCADA myPRO, endüstriyel süreçlerin görselleştirilmesine, kontrol edilmesine olanak tanıyan çok platformlu, insan-makine arayüzü (HMI) ve SCADA sistemidir. (Referans Linki)

Kritiklik derecesi yüksek seviye olarak değerlendirilen zafiyetlerden biri olan CVE-2021-44462, HMI dosyalarının ayrıştırılmasında mevcuttur. Zafiyet, tahsis edilmiş bir veri yapısının sonundan sonra bir yazma işlemine neden olabilecek, kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanmaktadır. Yerel tehdit aktörleri, etkilenen Cscape EnvisionRV yüklemelerinde rasgele kod yürütmek için bu zafiyetten yararlanabilmektedir. Güvenlik zafiyetinden yararlanmak için kullanıcının zararlı bir HMI dosyası açması gerektiğinden zafiyetten yararlanma kullanıcı etkileşimi gerekmektedir.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) , bu güvenlik zafiyetlerine karşı uyarmak için sırasıyla Ağustos ve Aralık aylarında iki güvenlik tavsiyesi yayınlamıştır. Ek olarak güvenlik araştırmacıları tarafından da her bir zafiyet için güvenlik önerisi hazırlanmıştır. Söz konusu güvenlik zafiyetlerinin, enerji, gıda, tarım, ulaşım sistemleri, su ve atık su sistemleri gibi kritik altyapı sektörlerinde faaliyet gösteren kuruluşları etkileme riski bulunmaktadır. Bu bağlamda savunmasız sürümleri kullanan kuruluşların zafiyetler kullanılarak gerçekleştirilebilecek saldırılardan etkilenmemek adına zafiyetlerin giderildiği güncel sürümlere ivedilikle yükseltme yapmaları tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!