Endüstriyel Kontrol Sistemleri (ICS), modern dünyamızın enerji, su, üretim ve ulaşım gibi hayati damarlarını oluşturmaktadır. Ancak bu sistemler, siber saldırganlar için giderek daha cazip hedefler haline gelmektedir. 24 Temmuz 2025 tarihinde ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kritik altyapıları hedef alan bu tehditlere dikkat çekmek için altı ayrı Güvenlik Danışmanlığı yayımladı.
(CISA resmi sitesinde “Advisory” ismiyle yayınlanan bu içeriklere, yazımızda “Danışmanlık” şeklinde atıf yapılmaktadır.) Bu danışmanlıklar, sadece teknik personel için değil, kritik altyapı işleten kurumların yöneticileri, bilgi güvenliği uzmanları ve siber risk yönetimiyle ilgilenen herkes için hayati önem taşımaktadır. Zira bu açıklar; uzaktan kod çalıştırma, yetkisiz erişim, veri sızıntısı ve cihaz işlevinin manipülasyonu gibi felaketle sonuçlanabilecek ciddi sonuçlara yol açabilmektedir. Bu blog yazısında, CISA’nın uyarılarda bulunduğu altı güvenlik açığını sadeleştirilmiş ve detaylı bir şekilde inceleyerek, bu hayati tehditler karşısında neler yapılması gerektiğini ele alacağız.
- Honeywell Experion PKS – Çok Katmanlı Saldırı Yüzeyine Sahip Kritik Zafiyetler
CVSS Skoru: 9.4 6
Bu danışmanlık, özellikle enerji, kimya, üretim ve su yönetimi gibi sektörlerde kullanılan Honeywell Experion PKS sistemini hedef almaktadır. Sistemde bellek yönetimi ve paket yönlendirme hataları gibi çeşitli zafiyetler tespit edilmiştir. Bu zafiyet türleri arasında kullanılmayan değişkenin kullanımı (DoS riski), bellek sınırlarının aşılması (uzaktan kod çalıştırma) ve yanlış handler atama (paket yönlendirme güvenliği) bulunmaktadır. Honeywell, ilgili sürümler için güvenlik yamaları yayımlamış olsa da, sistemin karmaşıklığı nedeniyle güncelleme süreçlerinin dikkatle planlanması gerekmektedir.
- Network Thermostat X-Series – Eksik Kimlik Doğrulama ile Cihaz Ele Geçirme Riski
CVSS Skoru: 9.3 11
Bina otomasyonu ve iklimlendirme kontrolü alanında kullanılan X-Series WiFi termostatlarını etkileyen bu zafiyet, cihazın gömülü web arayüzüne kimlik doğrulama olmadan erişim sağlamaktadır. Saldırganlar, internet üzerinden doğrudan bu cihazlara bağlanarak yönetici erişimi elde edebilirler. Etkilenen sürümler otomatik olarak güncellense de, bazı cihazlar güvenlik duvarı arkasında kaldığı için manuel müdahale gerekebilir.
- Mitsubishi Electric CNC Serisi – DLL Hijacking ile Yerel Kod Çalıştırma Açığı
CVSS Skoru: 7.0 15
Bu açık, CNC cihazlarına bağlı yazılımların kurulumunda kullanılan setup-launcher bileşeninde bulunmaktadır. Flexera InstallShield platformundaki bir DLL yükleme zafiyeti nedeniyle, kötü niyetli bir dosya aynı klasöre yerleştirilerek çalıştırılabilmektedir. Zafiyet, yerel ağ üzerinden veya fiziksel erişimle sömürülebilmektedir. Destek süresi dolmuş (EOL) ürünler için yama sunulmamış, sadece önleyici pratikler önerilmiştir.
- LG Innotek LNV5110R Kamera – Uzaktan Yönetici Yetki Atlama
CVSS Skoru: 8.3 20
Kamuya açık alanlarda veya kurumsal tesislerde sıkça kullanılan bu kamera modelinde, saldırganlar HTTP POST üzerinden doğrulama mekanizmasını aşarak cihaza doğrudan komut gönderebilmektedir. Bu sayede cihaz, yönetici düzeyinde uzaktan kontrol edilebilmektedir. Ancak en önemli uyarı, cihazın destek dışı olmasıdır. LG Innotek, bu modelin artık güncelleme almadığını ve riskin kullanıcı inisiyatifiyle yönetilmesi gerektiğini açıklamıştır.
- Medtronic MyCareLink – Hasta Verilerinde Fiziksel Erişimle İhlal Riski
CVSS Skoru: 7.0 25
Bu danışmanlık, kalp piline sahip hastaların verilerini doktorlara ileten MyCareLink ev tipi hasta takip cihazını ilgilendirmektedir. Zafiyetler arasında düz metin veri saklama ve boş şifre kullanımı gibi durumlar bulunmaktadır. Cihazların fiziksel olarak ele geçirilmesi durumunda, saldırganlar kullanıcı verilerini değiştirebilir veya okuyabilir. Medtronic, Haziran 2025 itibarıyla cihazlara otomatik güvenlik güncellemesi dağıtmaya başlamıştır.
- ICONICS Suite & MC Works64 – SCADA Sistemlerinde Kritik Kod Yürütme Tehlikesi
CVSS Skoru: 9.8 30
SCADA sistemleri için geliştirilen bu yazılım paketinde, birden fazla bileşeni etkileyen ciddi açıklar tespit edilmiştir. Özellikle GenBrokerX64 bileşeni, uzaktan kod çalıştırma için uygun bir hedef haline gelmektedir. MC Works64 için yama sunulmamış olması, bu yazılımı kullanan kurumların risk altında olduğu anlamına gelmektedir. Kullanıcılara mümkünse GENESIS64’e geçiş yapmaları önerilmektedir.
Bu Danışmanlıklar Neden Ciddiye Alınmalı?
Bu altı güvenlik uyarısı, farklı sektörlerden çok sayıda kurumu ilgilendirmektedir. Zafiyetlerin çoğu, düşük saldırı karmaşıklığı ile yüksek etki potansiyeline sahiptir. Bazıları tamamen uzaktan sömürülebilirken, bazıları fiziksel erişim gerektirse bile etkilediği sistemler nedeniyle hayati sonuçlara yol açabilir. Daha da önemlisi, bazı cihaz ve yazılımların destek dışı (EOL) statüsünde olması, yama alma ihtimalinin bulunmaması anlamına gelmektedir. Bu durum, sadece BT ekiplerini değil, stratejik karar vericileri de harekete geçmeye zorlamaktadır.
Peki, Ne Yapmalı?
CISA ve üretici firmalar bu tehditlere karşı aşağıdaki adımların atılmasını önermektedir:
- Varlık Envanteri: Sistemlerinizde yukarıdaki cihaz veya yazılım sürümlerinin bulunup bulunmadığını tespit edin.
- Güncellemeler: Yama sunulan her cihaz için güvenlik güncellemelerini vakit kaybetmeden uygulayın.
- Ağ İzolasyonu: Kontrol sistemlerini internete kapalı ve segmentlenmiş ağlarda tutun.
- VPN ve Uzaktan Erişim: Zorunlu durumlarda yalnızca güncel VPN çözümleriyle erişim sağlayın.
- Kullanıcı Erişimi: En az ayrıcalık prensibini uygulayın ve şifreleri güncelleyin.
- Loglama ve İzleme: IDS/IPS sistemleriyle şüpheli trafiği anlık olarak takip edin.
Sonuç
Bu danışmanlıklar, siber güvenliğin sadece bir teknoloji meselesi değil, aynı zamanda bir kurumsal sorumluluk olduğunu yeniden hatırlatmaktadır. Özellikle OT (Operasyonel Teknoloji) sistemlerinin güvenliğini sağlamada proaktif adımlar atılmadığı takdirde, sadece sistemler değil, insan hayatı ve kamu güvenliği de risk altına girebilir. ICS ortamları için “bekle ve gör” yaklaşımı artık geçerli değildir. Bu güvenlik danışmanlıkları, hızlı analiz, planlı güncelleme ve bütüncül risk yönetimi gerektiren acil bir çağrı niteliğindedir.
