Siber güvenlik araştırmacıları, myScada’yı etkileyen iki kritik kusurun ayrıntılarını açıkladı myproOperasyonel Teknoloji (OT) ortamlarında kullanılan ve kötü niyetli aktörlerin duyarlı sistemlerin kontrolünü ele geçirmesine izin verebilecek bir denetim kontrol ve veri toplama (SCADA) sistemi.
İsviçre güvenlik şirketi Prodaft, “Bu güvenlik açıkları, istismar edilirse, endüstriyel kontrol ağlarına yetkisiz erişim sağlayabilir, potansiyel olarak ciddi operasyonel kesintilere ve finansal kayıplara yol açabilir.” söz konusu.
Her ikisi de CVSS V4 puanlama sisteminde 9.3 olarak derecelendirilen eksikliklerin listesi aşağıdadır –
- CVE-2025-20014 – Bir işletim sistemi komutu enjeksiyon güvenlik açığı, bir saldırganın etkilenen sistemde keyfi komutları yürütmesine izin verebilecek bir sürüm parametresi içeren özel hazırlanmış posta istekleri aracılığıyla
- CVE-2025-20061 – Bir işletim sistemi komutu enjeksiyon güvenlik açığı, bir saldırganın etkilenen sistemde keyfi komutlar yürütmesine izin verebilecek bir e -posta parametresi içeren özel hazırlanmış posta istekleri aracılığıyla
İki kusurdan herhangi birinin başarılı bir şekilde kullanılması, bir saldırganın sistem komutlarını enjekte etmesine ve keyfi kod yürütmesine izin verebilir. Sorunlar aşağıdaki sürümlerde ele alındı -
- MyScada Pro Manager 1.3
- MyScada Pro Runtime 9.2.1
Prodaft’a göre, her iki güvenlik açığı Kullanıcı girişlerini sterilize etböylece bir komut enjeksiyonuna kapıyı açar.
Şirket, “Bu güvenlik açıkları SCADA sistemlerindeki kalıcı güvenlik risklerini ve daha güçlü savunmalara duyulan ihtiyacı vurguluyor.” Dedi. “Sömürü operasyonel aksamalara, mali kayıplara ve güvenlik tehlikelerine yol açabilir.”
Kuruluşların en son yamaları uygulaması, SCADA sistemlerini BT ağlarından izole ederek ağ segmentasyonunu zorlamaları, güçlü kimlik doğrulamasını uygulayarak ve şüpheli etkinlikleri izlemeleri önerilir.
