بهتازگی یک آسیبپذیری به شمارهی CVE-2025-3499 و شدت 10 شناسایی شده است که یک نقص امنیتی بسیار جدی محسوب میشود و امکان اجرای دستورات دلخواه سیستمعامل (OS Command Injection) را بدون نیاز به احراز هویت فراهم میسازد.
این آسیبپذیری اجازه میدهد مهاجم، بدون احراز هویت، دستورات دلخواه سیستمعامل را روی دستگاههای Radiflow iSAP Smart Collector اجرا کند. این امر میتواند منجر به کنترل کامل دستگاه و دسترسی غیرمجاز به دادهها و تنظیمات حساس شود و همچنین باعث اختلال یا از کار افتادن سیستمهای حیاتی در شبکههای صنعتی گردد.
بهدلیل خطر گسترده، این نقص تهدیدی جدی برای امنیت شبکههای صنعتی بهشمار میرود و نیازمند رفع فوری است.
محصولات تحتتأثیر
- Radiflow iSAP Smart Collector
- دستگاههای صنعتی و شبکهای که برای جمعآوری دادهها و مدیریت شبکههای کنترل صنعتی استفاده میشوند.
توصیههای امنیتی
برای جلوگیری از سوءاستفاده از این آسیبپذیری، اقدامات زیر توصیه میشود:
- بهروزرسانی دستگاههای Radiflow iSAP Smart Collector به آخرین نسخه امنیتی جهت رفع مشکل تزریق فرمان.
- محدودسازی دسترسی به شبکه این دستگاهها از طریق تنظیمات فایروال بهگونهای که فقط کاربران و سرویسهای مجاز امکان ارتباط داشته باشند.
- اعتبارسنجی و پاکسازی دقیق ورودیهای API بهمنظور جلوگیری از ورود دادههای مخرب.
- پایش مداوم فعالیتهای شبکه و ثبت لاگهای امنیتی جهت شناسایی و واکنش سریع به حملات احتمالی.
منبع خبر:
- 28