Cuma günü, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), tehdit aktörlerinin saldırılarda kullandığı güvenlik sorunları listesini beş artırdı, bunlardan üçü Veritas Backup Exec’te fidye yazılımı dağıtmak için istismar edildi.
Güvenlik açıklarından biri, Samsung’un web tarayıcısını hedef alan bir yararlanma zincirinin parçası olarak sıfır gün olarak ve saldırganların Windows makinelerinde ayrıcalıkları artırmasına izin veren bir diğeri olarak kullanıldı.
Fidye yazılımı saldırısında ilk erişim
CISA’nın bugün Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklediği beş güvenlik açığından yalnızca biri kritik olarak derecelendirildi; bu, Veritas’ın CVE-2021-27877 olarak izlenen ve yükseltilmiş ayrıcalıklarla uzaktan erişime ve komut yürütmeye izin veren veri koruma yazılımındaki bir sorundur. .
Siber güvenlik firması Mandiant’tan bu hafta başlarında yayınlanan bir rapor, CVE-2021-27877’nin ALPHV/BlackCat fidye yazılımı operasyonunun bir yan kuruluşu tarafından bir hedef ağa ilk erişim elde etmek için kullanıldığını bildiriyor.
Veritas Backup Exec’i etkileyen diğer iki açık (CVE-2021-27876, CVE-2021-27878) de saldırıda kullanıldı ve davetsiz misafirin sistem üzerinde rastgele dosyalara erişmesine ve rastgele komutlar yürütmesine olanak sağladı.
Veritas’ın Mart 2021’de üç güvenlik açığını da yamaladığını ve şu anda halka açık web üzerinden binlerce Backup Exec örneğine erişilebildiğini belirtmekte fayda var.
İstismar zinciri casus yazılım sağlar
Samsung’un web tarayıcısına karşı geliştirilen sıfır gün güvenlik açığı CVE-2023-26083 olarak izlenir ve Arm’ın Mali GPU sürücüsünü etkiler.
Aralık 2022’de Google’ın Tehdit Analizi Grubu (TAG) tarafından keşfedilen bir kampanyada ticari casus yazılım sağlayan bir istismar zincirinin parçası olan güvenlik sorunu, hassas çekirdek meta verilerinin açığa çıkmasına izin veren bir bilgi sızıntısıdır.
Mart ayının sonundaki bir önceki KEV güncellemesinde CISA, bazıları saldırı sırasında sıfır gün olan açıklardan yararlanma zincirinde kullanılan diğer güvenlik açıklarını kataloğa dahil etti.
KEV’e eklenen beşinci güvenlik açığı CISA, CVE-2019-1388 olarak tanımlanıyor. Microsoft Windows Sertifika İletişim Kutusunu etkiler ve daha önce güvenliği ihlal edilmiş bir makinede yükseltilmiş ayrıcalıklara sahip işlemleri çalıştırmak için saldırılarda kullanılmıştır.
ABD’deki federal kurumların, sistemlerinin yeni eklenen güvenlik açıklarından etkilenip etkilenmediğini kontrol etmek ve gerekli güncellemeleri uygulamak için 28 Nisan’a kadar süreleri var.
Kasım 2021’den itibaren bağlayıcı operasyonel direktifin (BOD 22-01) bir parçası olarak, Federal Sivil Yürütme Şube Ajansları (FCEB) ajanslarının, şu anda 911 girişi olan KEV kataloğunda yer alan tüm hatalar için ağlarını kontrol etmesi ve düzeltmesi gerekiyor.
KEV esas olarak federal kurumları hedef alsa bile, tüm dünyadaki özel şirketlerin katalogdaki güvenlik açıklarını öncelikli olarak ele almaları şiddetle tavsiye edilir.