ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna beş yeni güvenlik açığı ekleyerek, bu güvenlik açıklarının dünya çapındaki kuruluşlar için oluşturduğu sürekli tehdidi vurguladı. Bu güvenlik açıkları, aktif istismar nedeniyle işaretlendi ve bu da onları federal ve özel sektör sistemlerine sızmak ve zarar vermek isteyen siber suçlular için kritik hedefler haline getirdi.
Güvenlik açıkları CVE-2024-27348 (Apache HugeGraph-Server Uygunsuz Erişim Kontrolü Güvenlik Açığı), CVE-2020-0618 (Microsoft SQL Server Reporting Services Uzaktan Kod Yürütme Güvenlik Açığı), CVE-2019-1069 (Microsoft Windows Görev Zamanlayıcı Ayrıcalık Yükseltme Güvenlik Açığı), CVE-2022-21445 (Oracle JDeveloper Uzaktan Kod Yürütme Güvenlik Açığı) ve CVE-2020-14644 (Oracle WebLogic Server Uzaktan Kod Yürütme Güvenlik Açığı) olarak belirlendi.
CISA’nın istismar kanıtlarına göre, beşi de önemli riskler taşıyor ve kötü niyetli kişiler tarafından aktif olarak hedef alınıyor.
Düzenli olarak güncellenen CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu, kuruluşlar ve BT altyapıları için anında risk oluşturan Ortak Güvenlik Açıkları ve Maruziyetleri (CVE’ler) vurgular. Yeni tanımlanan her güvenlik açığı, ele alınmadığı takdirde yetkisiz erişim, ayrıcalık yükseltme ve hatta uzaktan kod yürütme gibi ciddi sonuçlara yol açabilir, potansiyel olarak ağları çökertebilir, hassas bilgileri sızdırabilir veya yaygın operasyonel kesintilere neden olabilir.
Yeni Güvenlik Açıklarını Parçalamak
1. CVE-2024-27348: Apache HugeGraph-Server Uygunsuz Erişim Kontrolü Güvenlik Açığı
Bir grafik veritabanı yönetim sistemi olan Apache HugeGraph-Server, uzak saldırganların etkilenen bir sunucuda keyfi kod yürütmesine izin verebilecek uygunsuz bir erişim kontrolü açığından muzdariptir. Bu kusur, erişim kontrol mekanizmaları üzerindeki yetersiz kısıtlamalardan kaynaklanmaktadır ve saldırganların sistemi uzaktan istismar etmesi için bir yol açmaktadır.
Gerekli Eylem: Apache HugeGraph-Server kullanan kuruluşlar, bu güvenlik açığını kapatmak için derhal satıcı tarafından sağlanan hafifletici önlemleri uygulamalıdır. Hiçbir yama mevcut değilse, olası bir tehlikeye karşı önlem almak için bu ürünün kullanımının durdurulması önerilir.
2. CVE-2020-0618: Microsoft SQL Server Reporting Services Uzaktan Kod Yürütme Güvenlik Açığı
Bu güvenlik açığı, bir serileştirme açığının kimliği doğrulanmış bir saldırganın sunucuda keyfi kod yürütmesine izin verdiği Microsoft SQL Server Reporting Services’ı etkiler. Sayfa isteklerini uygunsuz bir şekilde işleyerek, hizmet uzaktan kod yürütmeye karşı savunmasız hale gelir ve sunucunun verilerini ve işlevselliğini riske atar.
Gerekli Eylem: Microsoft bu güvenlik açığının nasıl azaltılacağına dair bir kılavuz yayınladı. Kuruluşlar sistemlerini güvence altına almak için bu azaltmaları derhal uygulamalıdır. Azaltma mümkün değilse, ağın istismardan korunması için önerilen eylem yolu kullanımın durdurulmasıdır.
3. CVE-2019-1069: Microsoft Windows Görev Zamanlayıcı Ayrıcalık Yükseltme Güvenlik Açığı
Microsoft Windows Görev Zamanlayıcısı, temel bir sistem yardımcı programıdır ve bir kusur içermektedir. SetJobFileSecurityByName() yerel, kimliği doğrulanmış bir saldırganın yükseltilmiş SİSTEM ayrıcalıkları elde etmesini sağlayabilecek bir işlev. Bu yükseltme, saldırgana etkilenen sistem üzerinde tam kontrol sağlayarak, kapsamlı kötü amaçlı faaliyetlere olanak tanıyabilir.
Gerekli Eylem: Kuruluşlar Microsoft’un önerdiği yamaları veya güvenlik güncellemelerini uygulamalıdır. Bu sorunun ele alınmaması, sistemin ciddi ayrıcalık yükseltmelerine açık kalmasına ve saldırganların SYSTEM düzeyindeki ayrıcalıklarla komutlar yürütmesine olanak tanıyabilir.
4. CVE-2022-21445: Oracle JDeveloper Uzaktan Kod Yürütme Güvenlik Açığı
Oracle’ın Fusion Middleware paketindeki popüler bir geliştirme aracı olan Oracle JDeveloper’da uzaktan kod yürütme güvenlik açığı tespit edildi. Güvenlik açığı, serileştirme kusurlarından muzdarip olan ADF Faces bileşeninde yer alıyor. Bu zayıflıklar uzaktan istismar edilebilir ve saldırganların kimlik doğrulaması gerektirmeden kötü amaçlı kod yürütmesine olanak tanıyabilir.
Gerekli Eylem: Oracle kullanıcıları bu güvenlik açığını azaltmak için Oracle’ın tavsiyesinde sağlanan önerilen adımları izlemelidir. Azaltma önlemleri kullanılamıyorsa veya etkisizse, kuruluşlar uzaktan istismarı önlemek için Oracle JDeveloper kullanımını durdurmayı düşünmelidir.
5. CVE-2020-14644: Oracle WebLogic Server Uzaktan Kod Yürütme Güvenlik Açığı
Oracle’ın Fusion Middleware paketinde tanımlanan bir diğer kritik güvenlik açığı WebLogic Server’ı etkiliyor. Bu uzaktan kod yürütme güvenlik açığı saldırganların serileştirme zayıflıklarından yararlanmasına ve T3 veya IIOP protokolleri aracılığıyla kimliği doğrulanmamış uzaktan erişime olanak sağlamasına olanak tanıyor. Bu, tüm sunucunun tehlikeye girmesine yol açabilir.
Gerekli Eylem: Oracle bu güvenlik açığı için bir yama yayınladı. Sistem güvenliğinin sağlanması için bu yamanın derhal uygulanması önemlidir. Diğer güvenlik açıklarında olduğu gibi, herhangi bir yama veya geçici çözüm yoksa, bir saldırıyı önlemek için ürünün kullanımının durdurulması şiddetle önerilir.
Federal Ajanslar ve Ötesi İçin Harekete Geçme Çağrısı
Bu güvenlik açıklarının Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna eklenmesi, Federal Sivil Yürütme Birimi (FCEB) ajanslarının bu güvenlik açıklarını belirli bir son tarihe kadar ele almasını ve düzeltmesini zorunlu kılan CISA’nın Bağlayıcı Operasyonel Yönergesi (BOD) 22-01 kapsamındadır. Bu, federal ağları aktif siber tehditlerden korumaya yönelik devam eden bir çabanın parçasıdır.
BOD 22-01 özellikle FCEB ajansları için geçerli olsa da, CISA tüm kuruluşları (hem kamu hem de özel) aynı özeni göstermeye çağırıyor. Siber saldırıların giderek karmaşıklaşmasıyla, kuruluşlar bu güvenlik açıklarını yamasız bırakmayı göze alamaz. Zamanında düzeltme uygulamak ve güvenlik açığı yönetimi uygulamalarını dahil etmek, ağları istismardan korumak için hayati adımlardır.
Bu Güvenlik Açıklarının Daha Geniş Etkisini Anlamak
Yukarıda listelenenler gibi güvenlik açıkları genellikle siber suçlular için en popüler giriş noktalarıdır. Uygunsuz erişim kontrolleri, ayrıcalık yükseltme veya uzaktan kod yürütme yoluyla olsun, bu güvenlik açıkları hassas verileri işleyen veya karmaşık sistemleri çalıştıran herhangi bir kuruluş için önemli riskler oluşturur.
Bu tür güvenlik açıklarının istismar edilmesi durumunda şunlar meydana gelebilir:
- Veri ihlalleri: Hassas veya kişisel bilgilerin ifşa edilmesine yol açar.
- Operasyonel kesintiler: Saldırganlar sunucuların kontrolünü ele geçirebilir, hizmetleri durdurabilir veya fidye talep edebilir.
- İtibar zedelenmesi:Siber saldırılara maruz kalan şirketler, itibarlarında ve müşteri güveninde uzun vadeli zararlar görüyor.
- Hukuki ve mali sonuçlar:Bilinen güvenlik açıklarını gidermemek gibi güvenlik standartlarına uyulmaması ağır para cezalarına ve yasal işlemlere yol açabilir.
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na sürekli olarak güvenlik açıklarının eklenmesi, proaktif siber güvenlik önlemlerinin önemini hatırlatmaktadır. Kuruluşlar, bu tehditlerin ağlarında tahribat yaratmasını önlemek için iyileştirmeye öncelik vermeli ve sistemlerini güncel tutmalıdır.