Fidye yazılımı, siber casusluk, veri hırsızlığı, siber terörizm ve ulus devlet destekli birçok faaliyet gibi çeşitli kötü amaçlı amaçlarla bu yıl ortalıkta dolaşan tehdit aktörleri tarafından çeşitli güvenlik açıkları tespit edildi ve kullanıldı.
CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna bazı güvenlik açıkları eklendi ve bu güvenlik açıkları, yama yapılması son derece önemli olarak işaretlendi. Microsoft, Citrix, Fortinet, Progress ve daha pek çok satıcının ürünleri bu güvenlik açıklarından etkilendi.
Bu yıl istismar edilen en önemli güvenlik açıklarından bazıları şunlardır:
- MOVEit Güvenlik Açığı (CVE-2023-34362)
- Microsoft Outlook Ayrıcalık Yükseltmesi (CVE-2023-23397)
- Fortinet FortiOS (CVE-2022-41328)
- ChatGPT (CVE-2023-28858)
- Windows Ortak Günlük Dosya Sistemi Sürücü Ayrıcalığının Yükseltilmesi (CVE-2023-28252)
- Barracuda E-posta Güvenliği Ağ Geçidi Güvenlik Açığı (CVE-2023-2868)
- Adobe ColdFusion (CVE-2023-26360)
- Citrix Sızıntı Güvenlik Açığı (CVE 2023-4966)
- Windows Akıllı Ekran Atlaması (CVE-2023-24880)
- SugarCRM Uzaktan Kod Yürütme (CVE-2023-22952)
Bu güvenlik açığı, Progress MOVEit Transfer’in 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) ve 2023.0.1’den (14.1.5) önceki sürümlerinde mevcuttu. 15.0.1) SQL enjeksiyon saldırısına karşı savunmasızdı.
Kimliği doğrulanmamış bir tehdit aktörü bu güvenlik açığından yararlanarak MOVEit Transfer Veritabanına erişim sağlayabilir ve veritabanı öğelerini değiştirmek veya silmek gibi kötü niyetli eylemler gerçekleştirebilir.
Bu güvenlik açığından Mayıs ve Haziran 2023’te CL0P fidye yazılımı grubu tarafından yararlanıldı. Bu güvenlik açığının önem derecesi 9,8 (Kritik). Progress, önlem adımlarının yanı sıra bu güvenlik açığını düzeltmek için yamalı sürümler yayınladı.
Bu güvenlik açığı, Android, iOS, Mac ve Windows kullanıcıları için Outlook dahil olmak üzere Outlook İstemcilerinin tüm sürümlerinde mevcuttu. Bir tehdit aktörü, özel hazırlanmış bir posta göndererek bu güvenlik açığından yararlanabilir ve bu istismarı otomatik olarak tetikleyebilir.
Üstelik bu, sıfır tıklamayla ortaya çıkan bir güvenlik açığıdır, çünkü bu güvenlik açığından yararlanmak için herhangi bir kullanıcı etkileşimi gerekmemektedir. Bu güvenlik açığından başarılı bir şekilde yararlanılması, kurbanın Net-NTLMv2 karmalarını sızdırır ve bunlar daha sonra diğer sistemlere aktarma saldırıları gerçekleştirmek ve ayrıca tehdit aktörünün hedeflenen kullanıcı olarak kimliğini doğrulamak için kullanılabilir.
Rusya merkezli bir tehdit aktörü bu güvenlik açığından yararlanarak Avrupa’daki hükümet, ulaşım, enerji ve askeri sektörleri hedef aldı. Bu güvenlik açığının önem derecesi 9,8 (Kritik).
Microsoft, bu güvenlik açığını gidermek için yamalı bir sürüm yayımladı.
Bu güvenlik açığı, birden fazla FortiOS sürümünde mevcuttu ve ayrıcalıklı bir tehdit aktörünün, kısıtlanmış bir dizine yönelik uygunsuz yol adı doğrulaması nedeniyle hazırlanmış CLI komutları aracılığıyla rastgele dosyaları okumasına ve yazmasına olanak tanıyordu.
Bu güvenlik açığının Çinli bir siber casusluk grubu tarafından hükümetlere karşı kullanıldığı tespit edildi. Bu güvenlik açığının ciddiyeti 7,1 (Yüksek). Fortinet bu güvenlik açığını gidermek için yamalı sürümler yayınladı.
CVE-2023-28858: ChatGPT’de Tek Tek Hata
Bu güvenlik açığı, 4.5.3’ten önceki ChatGPT sürümünün redis-py’sinde mevcuttu; bu, her iki kullanıcı da aynı anda etkinse, kullanıcının başka birinin sohbet geçmişini görmesine olanak tanıyordu. Üstelik OpenAI, bir “Bu hatanın varlığı sırasında aktif olan ChatGPT Plus abonelerinin %1,2’sinin ödemeyle ilgili bilgilerinin kasıtsız olarak görünür hale gelmesi.”
OpenAI, bu güvenlik açığının bildirilmesi üzerine hızlı bir şekilde yama uyguladı. Bu güvenlik açığının ciddiyeti 3,7 (Düşük).
Bu güvenlik açığı, sistemlere erişimi olan bir tehdit aktörünün SİSTEM ayrıcalıklarıyla kod çalıştırmasına olanak tanır. Bu, Windows 10 21H2, Windows 11 21H2 ve Windows Server 20348 işletim sistemlerine varsayılan olarak yüklenen clfs.sys sürücüsünde bulunur.
Nokoyawa fidye yazılımı grubu, Nisan 2023’te kuruluşlara saldırmak için bu güvenlik açığından yararlandı. Bu güvenlik açığının önem derecesi 7,8 (Yüksek) olarak verildi. Microsoft bu güvenlik açığını gidermek için yamalar yayımladı.
Bu güvenlik açığı, Barracuda Email Security Gateway sürüm 5.1.3.001-9.2.0.006’da, .tar dosyalarının işlenmesinde uygunsuz temizlik yapılması nedeniyle mevcuttu. Bir tehdit aktörü bu güvenlik açığından yararlanabilir ve ürün ayrıcalıklarıyla sistem komutlarını çalıştırabilir.
Bu güvenlik açığı, casusluk ve diğer faaliyetler için Çin Halk Cumhuriyeti’nin desteği altında çalışan UNC4841 tarafından aktif olarak kullanıldı. Bu güvenlik açığının ciddiyeti 9,8 (Kritik).
Barracuda Networks bu güvenlik açığına yönelik yamalar yayınladı.
Bu güvenlik açığı, Adobe ColdFusion sürüm 2018 Güncelleme 15 (ve öncesi) ile 2021 Güncelleme 5’i (ve öncesi) etkileyerek, uygunsuz erişim kontrolü nedeniyle tehdit aktörlerinin kullanıcının bağlamı altında rastgele kod yürütmesine olanak tanır.
Haziran ve Temmuz 2023’te bilinmeyen bir tehdit aktörü bu güvenlik açığından yararlandı. Bu güvenlik açığının önem derecesi 9,8 (Kritik) olarak verildi. Adobe bu güvenlik açığını gidermek için yamalar yayınladı.
Bu güvenlik açığı Citrix NetScaler ADC ve Gateway cihazlarının birden fazla sürümünde mevcuttu ve tehdit aktörlerinin etkilenen cihazlardaki hassas bilgileri almasına olanak tanıyordu. LockBit 3.0 Ransomware grubu, Kasım 2023’te bu güvenlik açığından aktif olarak yararlandı.
Bu güvenlik açığının ciddiyeti 7,5 (Yüksek). Bu güvenlik açığı için genel kullanıma açık bir yararlanma kodu mevcuttur ve çeşitli yararlanma örnekleri bulunmuştur. Citrix bu güvenlik açığını gidermek için yamalar yayınladı.
CVE-2023-24880: Windows SmartScreen Güvenlik Özelliğinin Atlama Güvenlik Açığı
Tehdit aktörleri, Web İşareti (MOTW) uyarısını atlayan kötü amaçlı MSI dosyaları göndererek bu güvenlik açığından yararlanabilir ve sisteme kötü amaçlı yazılım yerleştirme potansiyeline sahip olabilir. Bu güvenlik açığı Magniber fidye yazılımı ve Qakbot kötü amaçlı yazılım tehdit aktörleri tarafından istismar edildi.
Bu güvenlik açığının ciddiyeti 4,4 (Orta). Üstelik bu güvenlik açığı, Windows SmartScreen’de daha önce belirlenen bir güvenlik açığını atladı. Microsoft bu güvenlik açığını gidermek için yamalar yayımladı.
CVE-2023-22952: SugarCRM’de Uzaktan Kod Yürütme Güvenlik Açığı
Bu güvenlik açığı, SugarCRM’in E-posta şablonlarında mevcuttur ve özel hazırlanmış bir istek kullanılarak herhangi bir kullanıcı ayrıcalığına sahip bir tehdit aktörü tarafından istismar edilebilir. Tehdit aktörü, eksik giriş doğrulaması nedeniyle özel bir PHP kodu da ekleyebilir.
Bu güvenlik açığının ciddiyeti 8,8 (Yüksek). Birçok SugarCRM 11.0 ve 12.0 ürünü bu güvenlik açığından etkilendi. Ancak SugarCRM bu güvenlik açığını gidermek için yamalar yayınladı.
Bu yıl yukarıdaki liste dışında birçok kritik güvenlik açığı keşfedildi. Bu güvenlik açıklarının tehdit aktörleri tarafından istismar edilmesini önlemek için bu ürünlerin kullanıcılarının en son sürümlere yükseltmeleri önerilir.