bencede
New member
Amerika Birleşik Devletleri Bilgisayar Güvenlik İdaresi CISA, Alman üretici Kunbus'un ICS (Endüstriyel Kontrol Sistemleri) sistemindeki çok sayıda güvenlik boşluğunu uyarıyor. Pictory, mini endüstriyel bilgisayarların “Revolution Pi” dizisinin yapılandırılması için web uygulaması ve işletim sisteminin görüntüsü kimlik doğrulaması yoktu ve kapıyı açtı. Giriş verilerini kontrol ederken Pictory de yavaşlar.
CISA uyarısı dört güvenlik boşluğuna kadar uzanır:
Kunbus derhal onarıyor, Cisa geç uyarıyor
Üretici Kunbus, Nisan ayı başlarında bir harici güvenlik araştırmacısı tarafından kaydedilen boşluklara tepki gösterdi ve paketi güncelleyerek bazılarını tamir etti. Kunbus'un bir güvenlik notunda yazdığı gibi hem XXS boşlukları hem de kritik yolun manipülasyonu Pictory 2.12'de ayarlanmıştır.
Bununla birlikte, işletim sisteminin kırmızı düğüm sunucusunun kimlik doğrulamasının eksikliğini düzelten yeni bir görüntü, Mayıs 2025'in başında henüz mevcut değildir. Haberler güvenliğinin isteği üzerine Kunbus Ekkehard Krebs sözcüsü şunları açıkladı: “Soruna son bir çözüm (kırmızı düğüm için hakların yeni bir yönetimi dahil), birlikte sağlanacak.” O zamana kadar, yöneticiler Soli-Kunbus'tan gerekli yapılandırma ayarlarını getirmelidir. Güvenlik danışmanlığı için bir rehber sağlar.
CISA'nın neden Mayıs başında, yani güvenlik talimatlarının Kunbus tarafından yayınlanmasından bir ay sonra desteklendiği açık değil. Otoriteye göre, zayıflıkların aktif olarak sömürüleceği bilinmemektedir, örneğin cihazları benimsemek veya zarar vermek.
(CKU)
CISA uyarısı dört güvenlik boşluğuna kadar uzanır:
- 10.0 “mükemmel CVSS noktası” (yerçekimi “eleştirmen“) Devrim İşletim Sistemine (CVE-2025-24522, EUVD-2025-13263) dahil olan kırmızı-noble sunucu için kimlik doğrulama eksikliğini alır.
- En az 9.8 puan, “rotanın geçmesi”, yani URL yollarının yetenekli manipülasyonu, 2.5 ve 2.11.1 (CVE-2025-32011, EUVD-2025-13269, şiddet “ile doğrulama ile ele alınabilecek bir boşluğa dönüşür”eleştirmen“)”)
- Sürüm 2.11.1 veya daha büyük bir Pictory örneğinde (önceki boşluklardan biri gibi) kaydolan saldırganlar, bir yapılandırma dosyası komut dosyasının (depolanan komut dosyası) dosya adının adıyla meşru kullanıcıları tabi olabilir. Boşluk, CVSS noktasının 9.0 değerine sahip “eleştirmen“Ve CVE-2025-35996 ve EUVD-2025-13257 Tanımlayıcılar
- Forvet, bir komut dosyası kodu ile hazırlanan bir URL'yi meşru bir Pictory kullanıcısına iterse, bu kurbanın tarayıcısı tarafından gerçekleştirilir (çapraz komut dosyaları yansıtılır). CVE-ID CVE-2025-36558 ve EUVD-2025-13267 ile olan boşluğun CVSS değeri 6.1/10'dur ve bu nedenle ılıman2.11.1'e kadar olan tüm resimli versiyonlar.
Kunbus derhal onarıyor, Cisa geç uyarıyor
Üretici Kunbus, Nisan ayı başlarında bir harici güvenlik araştırmacısı tarafından kaydedilen boşluklara tepki gösterdi ve paketi güncelleyerek bazılarını tamir etti. Kunbus'un bir güvenlik notunda yazdığı gibi hem XXS boşlukları hem de kritik yolun manipülasyonu Pictory 2.12'de ayarlanmıştır.
Bununla birlikte, işletim sisteminin kırmızı düğüm sunucusunun kimlik doğrulamasının eksikliğini düzelten yeni bir görüntü, Mayıs 2025'in başında henüz mevcut değildir. Haberler güvenliğinin isteği üzerine Kunbus Ekkehard Krebs sözcüsü şunları açıkladı: “Soruna son bir çözüm (kırmızı düğüm için hakların yeni bir yönetimi dahil), birlikte sağlanacak.” O zamana kadar, yöneticiler Soli-Kunbus'tan gerekli yapılandırma ayarlarını getirmelidir. Güvenlik danışmanlığı için bir rehber sağlar.
CISA'nın neden Mayıs başında, yani güvenlik talimatlarının Kunbus tarafından yayınlanmasından bir ay sonra desteklendiği açık değil. Otoriteye göre, zayıflıkların aktif olarak sömürüleceği bilinmemektedir, örneğin cihazları benimsemek veya zarar vermek.
(CKU)