ZONG YU Otopark Yönetim Sistemlerindeki Kritik Güvenlik Açıkları
Park yönetimi çözümleri sağlayıcısı ZONG YU, yakın zamanda Park Yönetim Sistemi ve Okcat Park Yönetim Platformunu etkileyen çok sayıda ciddi güvenlik açığını ifşa etti. Bu açıklar 11 Mayıs 2025'te yayınlandı ve yetkisiz sistem kontrolü, keyfi kod yürütme ve veri ifşası gibi ciddi riskler oluşturuyor. Aşağıda her bir açığın ayrıntılı bir analizi, etkileri ve örnek saldırı senaryoları yer almaktadır.
CVE-2025-4557: Park Yönetim Sistemi API'lerinde Eksik Kimlik Doğrulama
Ciddiyet: Yüksek (CVSS 8.8)
Yayımlanma tarihi: 11 Mayıs 2025
Etkilenen Ürün: ZONG YU Park Yönetim Sistemi API'leri
Güvenlik Açığı Ayrıntıları:
Bu güvenlik açığı, ZONG YU Park Yönetim Sisteminin belirli API'lerinde eksik kimlik doğrulama kontrollerinden kaynaklanmaktadır. Kimliği doğrulanmamış uzak saldırganlar, herhangi bir kimlik bilgisi olmadan kritik sistem işlevlerine erişmek için bu açığı kullanabilir. Açığa çıkan işlevler arasında, park kapılarını uzaktan açma ve tüm park sistemini yeniden başlatma yeteneği yer alır ve saldırganlara park altyapısı üzerinde tam operasyonel kontrol sağlar .
Darbe:
Yetkisiz kapı erişimi, potansiyel olarak serbest giriş veya çıkışa izin verir
Sistemlerin uzaktan yeniden başlatılmasıyla park hizmetlerinin aksaması
Fiziksel güvenlik ihlallerinin olası kolaylaştırılması
Örnek Saldırı Senaryosu:
Bir saldırgan ağı tarar ve park sisteminin savunmasız API uç noktalarını keşfeder. Herhangi bir kimlik doğrulaması olmadan saldırgan, istediği zaman kapıları açmak için hazırlanmış API istekleri gönderir ve yetkisiz araçların park tesisine girmesine veya çıkmasına izin verir. Saldırgan ayrıca sistemi yeniden başlatmak için komutlar gönderebilir ve bu da hizmet kesintilerine ve operasyonel kaosa neden olabilir.
Azaltma:
Tüm açık API'lerde sağlam kimlik doğrulama mekanizmalarının derhal uygulanması
API erişimini güvenilir ağlara veya VPN'lere kısıtlayın
ZONG YU tarafından sağlanan güvenlik yamalarını mümkün olan en kısa sürede uygulayın
CVE-2025-4556: Okcat Park Yönetim Platformunda Keyfi Dosya Yükleme
Önem: Kritik (CVSS 9.3)
Yayımlanma tarihi: 11 Mayıs 2025
Etkilenen Ürün: Okcat Park Yönetim Platformu (Web Yönetim Arayüzü)
Güvenlik Açığı Ayrıntıları:
Okcat Park Yönetim Platformu'nun web yönetim arayüzü, keyfi bir dosya yükleme güvenlik açığından muzdariptir. Bu, kimliği doğrulanmamış uzak saldırganların web kabuğu arka kapıları gibi kötü amaçlı dosyaları sunucuya yüklemesine olanak tanır. Yüklendikten sonra, saldırganlar sunucuda keyfi kod çalıştırabilir ve sistem üzerinde tam kontrol elde edebilir .
Darbe:
Uzaktan kod yürütme yoluyla tam sunucu ihlali
Devam eden erişim için kalıcı arka kapılar konuşlandırılıyor
Potansiyel veri hırsızlığı, manipülasyonu veya imhası
Örnek Saldırı Senaryosu:
Bir saldırgan, kimlik doğrulaması olmadan savunmasız dosya yükleme özelliğine erişir ve meşru bir dosya gibi gizlenmiş bir web kabuğu yükler. Saldırgan, web kabuğunu kullanarak sunucuda komutlar yürütür, kötü amaçlı yazılım yükler ve ağa daha da derinlemesine girerek diğer sistemleri tehlikeye atar.
Azaltma:
Okcat Park Yönetim Platformunu en son güvenli sürüme güncelleyin
Yükleme özelliklerinde sıkı dosya doğrulaması ve temizleme uygulayın
Şüpheli dosya yükleme etkinlikleri ve web kabuğu yürütmeleri için sunucu günlüklerini izleyin
CVE-2025-4555: Okcat Park Yönetimi Platformunda Eksik Kimlik Doğrulama
Önem: Kritik (CVSS 9.3)
Yayımlanma tarihi: 11 Mayıs 2025
Etkilenen Ürün: Okcat Park Yönetim Platformu (Web Yönetim Arayüzü)
Güvenlik Açığı Ayrıntıları:
CVE-2025-4557'ye benzer şekilde, bu güvenlik açığı Okcat Park Yönetim Platformu'nun web arayüzünde eksik kimlik doğrulama denetimlerini içerir. Kimliği doğrulanmamış saldırganlar, kapıları açma, plakaları ve park kayıtlarını görüntüleme ve sistemi yeniden başlatma gibi hassas sistem işlevlerine doğrudan erişebilir .
Darbe:
Uzaktan kapıları açarak yetkisiz fiziksel erişim
Plaka numaraları ve park kayıtları gibi hassas verilerin ifşa edilmesi
Sistemin yeniden başlatılmasıyla park operasyonlarının aksaması
Örnek Saldırı Senaryosu:
Giriş yapmaya gerek kalmadan, bir saldırgan web arayüzüne erişir ve gizli park verilerini alır. Saldırgan daha sonra kapıları açmak için komutlar verir ve yetkisiz araçların girmesine izin verir. Saldırgan ayrıca hizmet reddi oluşturmak için sistemi yeniden başlatabilir.
Azaltma:
Tüm yönetim arayüzlerinde sıkı kimlik doğrulama ve yetkilendirmeyi zorunlu kılın
Erişimi yalnızca güvenilir kullanıcılar ve ağlarla sınırlayın
Kimlik doğrulama açıklarını kapatmak için satıcı yamalarını derhal uygulayın
Güvenlik Açıklarının Özet Tablosu
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Ürün | Etki Vurguları | Şiddet | Yayınlanma Tarihi |
|---|---|---|---|---|---|
| CVE-2025-4557 | Eksik Kimlik Doğrulama | ZONG YU Park Yönetimi API'leri | Yetkisiz kapı kontrolü, sistem yeniden başlatılması | Yüksek (8.8) | 11 Mayıs 2025 |
| CVE-2025-4556 | Keyfi Dosya Yükleme | Okcat Park Yönetim Platformu | Web kabuğu aracılığıyla uzaktan kod yürütme | Kritik (9.3) | 11 Mayıs 2025 |
| CVE-2025-4555 | Eksik Kimlik Doğrulama | Okcat Park Yönetim Platformu | Kapılara, verilere ve yeniden başlatmaya yetkisiz erişim | Kritik (9.3) | 11 Mayıs 2025 |
Çözüm
ZONG YU'nun park yönetimi ürünlerindeki CVE-2025-4555, CVE-2025-4556 ve CVE-2025-4557 güvenlik açıkları, yetkisiz fiziksel erişime, veri ihlallerine ve tam sistem ihlaline yol açabilecek kritik güvenlik risklerini temsil eder. Bu sistemleri kullanan kuruluşlar, bu tehditleri azaltmak için acilen güvenlik yamaları uygulamalı, güçlü kimlik doğrulama kontrolleri uygulamalı ve şüpheli etkinlikleri izlemelidir.