CISA’nın Açıklamaları ve Açık Tanımı: CVE-2021-26829
U.S. Cybersecurity and Infrastructure Security Agency (CISA), en son güncellemelerinde OpenPLC ScadaBR yazılımındaki bir güvenlik açığını, yani CVE-2021-26829’u, Aktif İstismar Edilen Açıklar Kataloguna (KEV) eklemiştir. Bu açık, işletim sistemine bağlı olarak hem Windows hem de Linux sürümlerinde etkili olan bir cross-site scripting (XSS) açığıdır. CVSS skoru 5.4 olarak derecelendirilen bu güvenlik zaafiyeti, belirli sürümlerde kullanıcılara ciddi riskler oluşturmakta.
Etkilenen Sürümler ve Kullanıcılar için Riskler
CVE-2021-26829, özellikle aşağıdaki sürümlerde etkili olmaktadır:
- OpenPLC ScadaBR Windows için 1.12.4 ve altı sürümler
- OpenPLC ScadaBR Linux için 0.9.1 ve altı sürümler
Bu sürümler, kötü niyetli kişilerin sistem ayarlarına erişim elde etmesine ve kullanıcı arayüzlerini manipüle etmesine olanak tanır. Özellikle bu açığın aktif olarak sömürüldüğü gözetilirse, kullanıcıların hızlı bir şekilde gerekli güncellemeleri yapması kritik önemdedir.
TwoNet’in Saldırı ve Hedef Alımları
CISA’nın açıklamalarının ardından, güvenlik analizi firması Forescout, pro-Rus hacktivist grubu TwoNet’in, Eylül 2025’te bir su arıtma tesisine benzer bir hedefe saldırı gerçekleştirdiğini bildirmiştir. Bu olayda saldırganlar, sistemlere ilk erişimi sağladıktan sonra yaklaşık 26 saat içinde sistem ayarlarını değiştirerek saldırıya geçmişlerdir.
Saldırganlar, varsayılan kimlik bilgileriyle erişim sağladıktan sonra “BARLATI” adında yeni bir kullanıcı hesabı oluşturmuş ve HMI (İnsan-Makine Arayüzü) giriş sayfasını değiştirmişlerdir. Hedef sistemin bir honeypot olduğunu bilmeden, sistemin gün kayıtlarını ve alarmlarını devre dışı bırakmışlardır.
TwoNet Grubunun Yöntemleri ve Hedefleri
TwoNet, Ocak 2025’te Telegram’da faaliyetlerine başlamış ve öncelikle DDoS saldırılarına odaklanmıştır. Ancak zamanla sanayi sistemleri, doxxing ve fidye yazılımı hizmetleri gibi daha geniş faaliyet alanlarına yönelmiştir. Ayrıca, diğer hacktivist gruplara da katıldığını iddia etmektedir.
Saldırıların dikkate değeri, özellikle endüstriyel sistemlere yönelik başarılı eylemleridir. Saldırganlar, sistem üzerinde herhangi bir yetki yükseltme girişiminde bulunmadan, yalnızca web uygulaması katmanında kalarak hedeflerini rahatsız etmektedir.
Açıkların Giderilmesi: Zaman Çizelgesi ve Önleyici Önlemler
CISA, federal kuruluşlardan açıkların giderilmesini en geç 19 Aralık 2025’te tamamlamalarını talep etmektedir. Bu süre zarfında, kullanıcıların gerekli düzeltmeleri yapması ve güvenlik izleme sistemlerini gözden geçirmesi gerekmektedir.
Ayrıca, dikkat çeken diğer bir konu da, VulnCheck’in tespit ettiği, Google Cloud üzerinde uzun süreli bir OAST (Out-of-Band Uygulama Güvenliği Testi) sisteminin varlığıdır. Bu durum, siber aktörlerin meşru internet hizmetlerini nasıl silahlandırdığını ve normal ağ trafiğiyle nasıl örtüştürdüğünü göstermektedir.
Sonuç olarak, CVE-2021-26829 açıkları göz önüne alındığında, kullanıcıların dikkatli olmasının ve gerekli güvenlik önlemlerini almasının önemi giderek artmaktadır. Siber güvenlik alanındaki bu tür açıklıklar, yalnızca bireysel kullanıcıları değil, tüm endüstriyel sistemleri tehdit etmektedir.
