Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), Apple iTunes’daki iki güvenlik açığını ele alan bir danışma belgesi yayınladı. Hatalar, Windows için 12.12.9’dan önceki Apple iTunes sürümlerinde bulundu. CVE-2023-32353 ve CVE-2023-32351 idi.
Apple iTunes’daki iki güvenlik açığı
Önem düzeyi yüksek iki Apple iTunes güvenlik açığı, bilgisayar korsanlarının güvenliği ihlal edilmiş sistemde istenmeyen değişiklikler yapmak için yükseltilmiş ayrıcalıklar elde etmesine olanak sağlayabilir. Bu güvenlik açıkları, saldırıya uğramış sistemin istenmeyen davranışlar gerçekleştirmesine izin veren mantık sorunlarından kaynaklanmaktadır.
Bir Apple danışma belgesinde hafifletme yöntemlerinden bahsedilmişti. Apple iTunes güvenlik açıkları hakkında şu an için pek bir paylaşım yapılmadı.
Cyber Express, Apple iTunes güvenlik açıklarıyla ilgili ek ayrıntılar için CERT-IN ekibine ve Apple’a ulaştı. Yanıtlarını aldıktan sonra bu raporu güncelleyeceğiz.
Doğada istismar edilen güvenlik açıkları
Apple kısa bir süre önce, vahşi ortamda istismar edildiği bildirilen iki sıfır gün güvenlik açığını ele aldı. İki Apple güvenlik açığı iPhone, iPad ve Mac’teydi.
CVE-2023-28206, taban puanı 8,6 olan yüksek önem düzeyine sahip bir hataydı. Ayrıca CVE-2023-28205, taban puanı 8,8 olan yüksek önem düzeyine sahip bir Apple güvenlik açığıydı.
En Çok Yararlanan İlk 5 Güvenlik Açıkları
2022’de en çok yararlanılan beş hata Microsoft Exchange, Zoho ManageEngine ürünleri ve Fortinet, Citrix ve Pulse Secure’un sanal özel ağ çözümlerinde bulundu.
Raporlara göre hatalar Log4Shell, Follina, Atlassian Confluence Server ve Data Center kusuru ve ProxyShell idi.
- Log4shell: Log4Shell güvenlik açığından yararlanmanın tam kapsamı henüz belirlenmemiştir. Ancak milyonlarca Java tabanlı uygulamanın sistem güvenliği üzerinde yıkıcı bir etkiye neden olabilir.
- Zoho ManageEngine ürünleri: Bu güvenlik açığı, Apache Santuario açık kaynak projesindeki libxmlsec adlı bir kitaplığın eski sürümlerinde bulunuyordu. Bir CSO Online raporu, “ManageEngine 10 Ocak’ta danışma belgesini yayınladığında, Horizon3.ai’den araştırmacılar bunu araştırdı ve çalışan bir kavram kanıtı istismarı oluşturmak için yamayı tersine mühendislikle işledi.” Kusur, cihazın tam kontrolünü sağladı. Yamalar satıcı tarafından yayınlandı, ancak yine de istismar edildi.
- Follina: Microsoft Office ürün paketindeki yüksek önem düzeyine sahip hata, uzaktan kod yürütme saldırılarına izin verir. Ancak, kullanıcı istenmeyen ve virüs bulaşmış dosyalara tıklamazsa istismar engellenebilir.
- Atlassian Confluence Sunucusu ve Veri Merkezi güvenlik açığı: Confluence Sunucusu ve Veri Merkezi’ndeki bu kritik önemdeki hata, uzaktan kod enjeksiyonuna da izin verdi. Bir şirket danışma belgesinde “Yukarıda listelenen düzeltilmiş sürümlerden önceki tüm Confluence Server ve Data Center sürümleri bu güvenlik açığından etkilenmektedir” ifadesi yer aldı.
- ProxyShell: Microsoft Exchange ProxyShell güvenlik açıklarından yararlanmak, Exchange Sunucusu üzerinde tam kontrole ve yatay hareketlere izin verdi. Üç güvenlik açığından oluşan ProxyShell’e 2021’de Microsoft tarafından yamalar sunuldu. Ancak, bu yılın Şubat ayının başlarında, ProxyShellMiner adlı bir kötü amaçlı yazılımın kripto para birimi madenciliği için kullandığı bulundu.
Yayınlanan yamalar sonuçları garanti etmez ve otomatik olarak yükseltilmezse, kullanıcılardan güncellemeleri manuel olarak yüklemeleri istenir.
Aynı şeyi yineleyen bir Tenable araştırmasında şunlar yazıyordu: “Belki de en endişe verici olanı, 2022’de keşfedilen çok sayıda parlak yeni güvenlik açığının yanı sıra, geçmiş yılların güvenlik açıklarının kuruluşların peşini bırakmamasıdır. Aslında, 2017’ye dayanan kusurlar bu yıl o kadar belirgindi ki, 2022’nin en önemli güvenlik açıkları listemizde bir numarayı garantilediklerini hissettik.”
Rapor ayrıca, kullanıcılardan hızlı yama yüklemelerini engelleyen büyük satıcıların güvenlik açığını zamanında ifşa etmesi gerektiğini vurguladı.
Özellikle Microsoft gibi bir şirket için güvenlik açıklarının ele alınması ve kullanıcıların haberdar olması için ifşa edilmesi zorunlu hale geliyor.
Ayrıca, 2020’de tarayıcı tabanlı güvenlik açıkları %35,7 ile listenin başında gelirken, 2021’de %30,5’e yükseldi.
2022’de, işletim sistemi güvenlik açıkları en fazla %50,5 ile tespit edildi ve bu, yama güncellemelerinde satıcıların ve kullanıcıların zamanında harekete geçmesi gerektiğini vurguluyor.