Salı günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna Microsoft Ortak Merkezi ve Synacor Zimbra İşbirliği Suite’i (ZCS) etkileyen iki güvenlik kusuru yerleştirdi.
Söz konusu güvenlik açıkları aşağıdaki gibidir –
- CVE-2024-49035 (CVSS Puanı: 8.7) – Microsoft Ortak Merkezi’nde bir saldırganın ayrıcalıkları artırmasına izin veren yanlış erişim kontrolü güvenlik açığı. (Kasım 2024’te düzeltildi)
- CVE-2023-34192 (CVSS Puanı: 9.0) – Synacor ZC’lerde, uzaktan kimlik doğrulamalı bir saldırganın /H /AutoSavedraft işlevine hazırlanmış bir komut dosyası aracılığıyla keyfi kod yürütmesine izin veren bir siteler arası komut dosyası (XSS) güvenlik açığı. (8.8.15 Yama 40 sürümü ile Temmuz 2023’te düzeltildi)
Geçen yıl Microsoft, CVE-2024-49035’in vahşi doğada sömürüldüğünü, ancak gerçek dünya saldırılarında nasıl silahlandırıldığına dair herhangi bir ek ayrıntı ortaya koymadığını kabul etti. Şu anda CVE-2023-34192’nin vahşi kötüye kullanımı hakkında kamuoyu raporu yok.
Kalkınma ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajansları, ağlarını güvence altına almak için 18 Mart 2025’e kadar gerekli güncellemeleri uygulama zorunluluğuna tabi tutulur.
Geliştirme, CISA’nın aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna Adobe Coldfusion ve Oracle Agile Ürün Yaşam Döngüsü Yönetimi’ni (PLM) etkileyen iki güvenlik kusuru eklemesinden bir gün sonra geliyor.