ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Salı günü, aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı ekledi.
Eksiklerin listesi aşağıdaki gibidir –
- CVE-2022-47986 (CVSS puanı: 9.8) – IBM Aspera Faspex Kod Yürütme Güvenlik Açığı
- CVE-2022-41223 (CVSS puanı: 6.8) – Mitel MiVoice Connect Kod Enjeksiyon Güvenlik Açığı
- CVE-2022-40765 (CVSS puanı: 6.8) – Mitel MiVoice Connect Komut Enjeksiyon Güvenlik Açığı
CVE-2022-47986, dosya aktarım çözümünde uzaktaki bir saldırganın sistemde kod yürütmesine izin verebilecek bir YAML serisini kaldırma kusuru olarak tanımlanır.
Kusurun ayrıntıları ve bir kavram kanıtı (PoC), Assetnote tarafından 2 Şubat’ta paylaşıldı, bir gün sonra Shadowserver Vakfı söz konusu vahşi doğada “sömürü girişimleri aldı”.
Aspera Faspex açığının aktif olarak kullanılması, Fortra’nın GoAnywhere MFT tarafından yönetilen dosya aktarım yazılımındaki (CVE-2023-0669) bir güvenlik açığının, Clop fidye yazılımı operasyonuna potansiyel bağlantıları olan tehdit aktörleri tarafından kötüye kullanılmasından kısa bir süre sonra gelir.
CISA ayrıca Mitel MiVoice Connect’i (CVE-2022-41223 ve CVE-2022-40765) etkileyen ve dahili ağ erişimi olan kimliği doğrulanmış bir saldırganın rastgele kod yürütmesine izin verebilecek iki kusur ekledi.
Saldırıların doğasını çevreleyen kesin ayrıntılar belirsizdir. Güvenlik açıkları, Ekim 2022’de Mitel tarafından yamalandı.
Vahşi istismarın ışığında, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağları olası tehditlere karşı güvence altına almak için gerekli güncellemeleri 14 Mart 2023’e kadar uygulamaları gerekmektedir.
CISA, ilgili bir geliştirmede, Mitsubishi Electric’in MELSOFT iQ AppPortal’ındaki kritik kusurlarla (CVE-2022-26377 ve CVE-2022-31813) ilgili bir Endüstriyel Kontrol Sistemleri (ICS) tavsiyesi de yayınladı.
Ajans, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli bir saldırganın kimlik doğrulama atlama, bilgi ifşa etme, hizmet reddi veya IP adresi kimlik doğrulamasını atlama gibi tanımlanamayan etkiler yapmasına izin verebilir” dedi.