ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismarın kanıtlarını öne sürerek Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna altı güvenlik açığı ekledi.
Buna, Apache Superset açık kaynaklı veri görselleştirme yazılımını etkileyen ve uzaktan kod yürütülmesine olanak tanıyan yüksek önem derecesine sahip bir güvenlik açığı olan CVE-2023-27524 (CVSS puanı: 8,9) da dahildir. 2.1 sürümünde düzeltildi.
Sorunun ayrıntıları ilk olarak Nisan 2023’te ortaya çıktı ve Horizon3.ai’den Naveen Sunkavally bunu “Kimliği doğrulanmamış bir saldırganın uzaktan kod yürütmesine, kimlik bilgilerini toplamasına ve verileri tehlikeye atmasına olanak tanıyan Apache Superset’teki tehlikeli bir varsayılan yapılandırma” olarak tanımladı.
Şu anda bu güvenlik açığının vahşi ortamda nasıl istismar edildiği bilinmiyor. Ayrıca CISA tarafından eklenen beş kusur daha var:
- CVE-2023-38203 (CVSS puanı: 9,8) – Adobe ColdFusion ile Güvenilmeyen Verilerdeki Güvenlik Açığı Seriden Çıkarma
- CVE-2023-29300 (CVSS puanı: 9,8) – Adobe ColdFusion ile Güvenilmeyen Verilerdeki Güvenlik Açığı Seriden Çıkarma
- CVE-2023-41990 (CVSS puanı: 7,8) – Apple’da Çoklu Ürün Kodu Yürütme Güvenlik Açığı
- CVE-2016-20017 (CVSS puanı: 9,8) – D-Link DSL-2750B Cihazlarına Komut Ekleme Güvenlik Açığı
- CVE-2023-23752 (CVSS puanı: 5.3) – Joomla! Uygunsuz Erişim Kontrolü Güvenlik Açığı
Apple tarafından iOS 15.7.8 ve iOS 16.3’te yamalanan CVE-2023-41990’ın, özel hazırlanmış bir iMessage PDF ekini işlerken uzaktan kod yürütmeyi sağlamak için Üçgenleme Operasyonu casus yazılım saldırılarının bir parçası olarak bilinmeyen aktörler tarafından kullanıldığını belirtmekte fayda var.
Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 29 Ocak 2024’e kadar yukarıda belirtilen hatalara yönelik düzeltmeleri uygulamaları önerildi.