CISA, ABD federal ajanslarını Cisco ve Windows sistemlerindeki güvenlik açıklarından yararlanan saldırılara karşı sistemlerini güvence altına almaları konusunda uyardı.
Siber güvenlik ajansı bu kusurları vahşi doğada aktif olarak sömürülen şekilde etiketlerken, bu kötü niyetli etkinlik ve arkasında kimin hakkında özel ayrıntılar sağlamamıştır.
İlk kusur (CVE-2023-20118 olarak izlenir), saldırganların RV016, RV042, RV042G, RV082, RV320 ve RV325 VPN yönlendiricileri üzerinde keyfi komutlar yürütmesini sağlar. Geçerli yönetimsel kimlik bilgileri gerektirse de, bu, kök ayrıcalıkları sağlayan CVE-2023-20025 kimlik doğrulama bypass’ı zincirleyerek elde edilebilir.
Cisco, Ocak 2023’te yayınlanan bir danışmanlıkta ve bir yıl sonra ürün güvenliği olay müdahale ekibinin (PSIRT) CVE-2023-20025’in halka açık bir kavram kanıtı sömürüs kodunun farkında olduğunu güncellediğini söylüyor.
İkinci güvenlik hatası (CVE-2018-8639), yerel saldırganların hedef sisteme giriş yaptığı bir WIN32K ayrıcalık artışıdır. Başarılı sömürü ayrıca, savunmasız Windows cihazlarını devralmak için verileri değiştirmelerine veya tam kullanıcı haklarına sahip haydut hesaplar oluşturmalarına olanak tanır.
Aralık 2018’de Microsoft tarafından yayınlanan bir güvenlik danışmanlığına göre, bu güvenlik açığı istemci (Windows 7 veya sonraki) ve sunucu (Windows Server 2008 ve üstü) platformları etkiler.
Bugün, CISA, ajansın saldırılarda kullanıldığı olarak etiketlediği güvenlik hatalarını listeleyen bilinen sömürülen güvenlik açıkları kataloğuna iki güvenlik açıkını ekledi. Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan Federal Sivil Yürütme Şubesi (FCEB) ajansları, ağlarını devam eden sömürüye karşı güvence altına almak için 23 Mart’a kadar üç haftaya sahiptir.
Cisa, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.” Dedi.
Microsoft ve Cisco, CISA iki güvenlik açıkını saldırılarda aktif olarak sömürülen olarak etiketledikten sonra güvenlik danışmanlarını henüz güncellemedi.
Şubat ayı başlarında CISA ayrıca, kritik bir Microsoft Outlook Uzaktan Kod Yürütme (RCE) güvenlik açığının (CVE-2024-21413) artık devam eden saldırılarda kullanıldığını ve 27 Şubat’a kadar sistemlerini düzeltmelerini emrettiğini açıkladı.