ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Güvenlik Açığı Kataloğuna, biri güvenlik ürünlerini etkileyen son derece önemli bir güvenlik sorunu olan, aktif olarak yararlanılan 10 yeni güvenlik açığı (KEV) yayınladı. Delta Electronics’ten otomatik üretim.
DOPSoft 2, CVE-2021-38406 (CVSS puanı: 7.8) olarak tanımlanan güvenlik açığından etkilenir. Bu güvenlik açığı, başarılı bir saldırıyla rasgele kod yürütülmesini sağlayabilir.
“Delta Electronics DOPSoft 2, belirli proje dosyalarını ayrıştırırken (yanlış giriş doğrulaması) kullanıcı tarafından sağlanan verilerin doğru bir şekilde doğrulanmasından yoksundur, bu da kod yürütülmesine izin veren sınır dışı yazıya neden olur”
CVE-2021-38406’nın ilk olarak Eylül 2021’de yayınlanan bir Endüstriyel Kontrol Sistemleri (ICS) uyarısının bir parçası olarak kamuya açıklandığını hatırlamak önemlidir. CISA, “etkilenen ürün kullanım ömrünün sonuna ulaştı ve olması gerektiği” konusunda uyarıyor. Güvenlik açığını gidermek için herhangi bir güncelleme olmadığından hala kullanımdaysa fişi çekilmelidir.
Web kabukları, kripto para madencileri, botnet’ler, uzaktan erişim truva atları (RAT’ler), aracıların ilk erişimi (IAB’ler) ve nihayetinde fidye yazılımları genellikle bu saldırıların sömürülmesi için kesin bir sırayla kullanılır.
Aktif olarak yararlanılan hataların listesi artık şunları içeriyor:
- CVE-2022-26352 – dotCMS Sınırsız Dosya
- CVE-2022-24706 Varsayılan Kaynak Başlatma Güvenlik Açığı
- CVE-2022-24112 – Apache APISIX Kimlik Doğrulaması
- CVE-2022-22963 – VMware Tanzu Spring Cloud Fonksiyonu Uzaktan Kod Yürütme
- CVE-2022-2294 – WebRTC Arabellek Taşması Güvenlik Açığı
- CVE-2021 -39226 – Grafana kimlik doğrulamasını atlama güvenlik açığı
- CVE-2020-36193 – PEAR Archive_Tar hatalı bağlantı çözünürlüğü güvenlik açığı
- CVE-2020-28949 – PEAR Archive_Tar’da hileli veri seri durumdan çıkarma güvenlik açığı
CVE-2021-31010 (CVSS puanı: 7.5), Apple’ın Core Telephony’sinde sanal alan kısıtlamalarının ötesine geçmek için kullanılabilecek bir seri durumdan çıkarma kusuru, KEV Kataloğuna eklenen son derece ciddi bir hatadır.
Hata, teknoloji devi tarafından Eylül 2021’de iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (güvenlik güncellemesi 2021-005 Catalina dahil) ve watchOS 7.6.2 sürümlerinde çözüldü.
Eylül güncellemesi, her ikisi de kötü şöhretli Pegasus truva atının arkasındaki şirket olan NSO Group tarafından işletim sisteminin güvenlik önlemlerinin ötesine geçmek için kullanılan CVE-2021-30858 ve CVE-2021-30860’ı çözmek için önemlidir. CVE-2021-31010 ve daha önce açıklanan iki sorun, korumalı alanın dışına çıkmak ve rastgele kod yürütmek için bir saldırı zincirinde birleştirildi.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.