Cyble’ın bugün yayınlanan haftalık güvenlik açığı raporuna göre, aktif olarak yararlanılan güvenlik açıklarına sahip yaklaşık 1 milyon Fortinet ve SonicWall cihazı internette açığa çıkıyor.
Raporda ayrıca Grafana Labs ve CyberPanel’deki dark web istismarları ve güvenlik açıkları da incelendi ve ayrı bir Cyble blogu, tehdit istihbarat şirketinin bal küpü sensörleri tarafından tespit edilen WordPress eklentileri, IoT cihazları ve VNC ve RDP uzaktan erişim bağlantı noktalarına yönelik aktif siber saldırıları bildirdi.
‘FortiJump’ FortiOS CVE’leri Saldırı Altında
Cyble tarayıcıları, 62.000 FortiManager örneği ve 427.000 internet bağlantılı Fortinet cihazı dahil olmak üzere aktif olarak istismar edilen iki güvenlik açığına maruz kalan yaklaşık 500.000 Fortinet cihazını ve örneğini tespit etti.
“FortiJump” olarak da bilinen CVE-2024-47575, istismar edilen iki güvenlik açığından en yenisidir. FortiManager kusuru, bir tehdit aktörünün özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmesine olanak tanıyabilir. Bu güvenlik açığından en az Haziran ayından bu yana yararlanılıyor ve CVE’nin açıklanmasından 10 veya daha fazla gün önce, güvenlik araştırmacıları ve FortiManager kullanıcıları üründeki isimsiz bir sıfır gün güvenlik açığına yönelik saldırılar bildiriyordu.
Cyble, Fortinet’in müşterilerini FortiManager’daki bir güvenlik açığı hakkında bilgilendirdiğini ve CVE’nin yayınlanmasından bir hafta önce bazı azaltıcı önlemler önerdiğini ancak bazı müşterilerin bu iletişimi alamadıklarını söylemesi nedeniyle Fortinet’in danışmanlık sürecinin bazı ince ayarlara ihtiyaç duyabileceğini bildirdi.
Cyble araştırmacıları ayrıca bir siber suç forumunda FortiOS, FortiProxy, FortiPAM ve FortiSwitchManager’ın birden fazla sürümünde bulunan ve kimliği doğrulanmamış saldırganlar tarafından uzaktan saldırılara izin verebilecek kritik bir güvenlik açığı olan CVE-2024-23113’ün istismarlarını tartışan tehdit aktörlerini de gözlemledi.
Fidye Yazılımı Saldırılarında SonicWall ve CyberPanel Kusurlarından Yararlanıldı
Cyble, SonicWall cihazlarını ve güvenlik duvarlarını yönetmek için kullanılan SonicOS işletim sisteminin yönetim arayüzünde ve kontrollerinde 9.8 önem derecesine sahip uygunsuz erişim kontrolü güvenlik açığı olan CVE-2024-40766’ya maruz kalan 486.000’den fazla SonicWall cihazı tespit etti. Yönetilen güvenlik firması Arctic Wolf, Fog ve Akira fidye yazılımı operatörlerinin SSL VPN ortamlarındaki güvenlik açığından yararlandığını bildirdi.
CyberPanel örnekleri, 10.0 önem derecesine sahip CVE-2024-51567 ve CVE-2024-51568 güvenlik açıkları sayesinde toplu fidye yazılımı ve kripto madenciliği saldırılarına maruz kaldı. Açık kaynaklı web barındırma kontrol paneli, özellikle LiteSpeed web sunucusunu kullananlar için sunucu yönetimini basitleştirmek için kullanılır. Cyble tarafından tespit edilen yaklaşık 33.000 açıkta kalan CyberPanel örneğinin yarısından fazlası saldırılarda vuruldu.
Cyble ayrıca Grafana açık kaynak analiz platformunun SQL Expressions deneysel özelliğindeki 9.4 önem derecesine sahip bir güvenlik açığı olan CVE-2024-9264’ü ve Xlight FTP Sunucusunda kritik bir tamsayı taşması güvenlik açığı olan CVE-2024-46483’ü de bildirdi.
Cyble Sensörleri WordPress Eklentilerine ve IoT Cihazlarına Yönelik Saldırıları Tespit Ediyor
Bu arada Cyble’ın sensör istihbaratı raporu, LightSpeed Cache ve GutenKit WordPress eklentilerine yönelik aktif saldırıları ortaya çıkardı.
Endüstriyel ve kritik ortamlarda kullanılan, güncellenmesi zor IoT cihazlarındaki eski güvenlik açıkları, en son raporda 361.000 kez hedeflenen Treck TCP/IP güvenlik açığı da dahil olmak üzere, çok yüksek düzeyde saldırı altındadır.
Cyble ayrıca RDP (bağlantı noktası 3389) ve Sanal Ağ Bilgi İşlem (VNC, bağlantı noktası 5900) uzaktan erişim protokolleri ve bağlantı noktalarına yönelik saldırıları ve kaba kuvvet girişimlerini de ayrıntılı olarak açıkladı – özellikle RDP, Ukrayna’ya karşı yakın zamanda Rusya’nın düzenlediği “Midnight Blizzard” kampanyasında hedef alındı.
İlgili