Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda bilinen istismar edilen güvenlik açıkları kataloğunu, D-Link yönlendiricileri ve Google Chromium’daki kusurlar da dahil olmak üzere üç yeni girişi içerecek şekilde güncelledi.
CISA tarafından paylaşılan bir gönderiye göre, listelenen güvenlik açıklarından biri siber saldırıların ortak hedefi olan D-Link yönlendiricilerini etkiliyor. CVE-2014-100005, özellikle Siteler Arası İstek Sahteciliği (CSRF) sorunları etrafında dönen D-Link DIR-600 yönlendirici serisiyle ilgilidir.
CISA, Bilinen Üç İstismara Uğrayan Güvenlik Açığı Ekliyor
Kötü niyetli aktörler, D-Link yönlendiricisinin güvenlik açığından yararlanarak yönetici ayrıcalıklarını ele geçirebilir ve yetkisiz eylemleri uzaktan yürütmelerine olanak tanıyabilir.
Listelenen bir diğer D-Link yönlendirici güvenlik açığı ise DIR-605 modelini etkileyen CVE-2021-40655’tir. Bu kusur, saldırganların sahte istekler yoluyla kullanıcı adı ve parola gibi hassas bilgileri elde etmesine olanak tanıyor ve etkilenen kullanıcılar için önemli bir risk oluşturuyor.
Ek olarak CISA kataloğu, Google Chromium’un V8 motoruyla ilgili CVE-2024-4761’i de içermektedir. Şiddet derecesi ‘Yüksek’ olarak işaretlenen bu Chromium güvenlik açığı, sınırların dışında belleğe yazma sorunu içeriyor.
Uzaktaki saldırganlar bu kusurdan yararlanarak hazırlanmış HTML sayfaları aracılığıyla kötü amaçlı kod çalıştırabilir ve potansiyel olarak kullanıcı verilerini ve sistem bütünlüğünü tehlikeye atabilir.
Katalog Güvenlik Açıklarının Önemi
İstismar edilen bu güvenlik açıkları, bir kez kullanıldığında ciddi sonuçlara yol açarak onları siber suçluların birincil hedefi haline getirebilir. Özellikle, bu girişler, CISA’nın federal ağların karşı karşıya olduğu önemli tehditlerin güncellenmiş bir listesini tutmaya yönelik devam eden çabalarının bir parçasıdır.
Bilinen istismar edilen güvenlik açıkları kataloğu, federal kuruluş içindeki riskleri azaltmayı amaçlayan Bağlayıcı Operasyonel Direktif (BOD) 22-01 ile uyumludur.
BOD 22-01 özellikle Federal Sivil Yürütme Organı (FCEB) kurumlarını hedef alırken, CISA, güvenlik açığının giderilmesine öncelik veren tüm kuruluşların önemini vurgulamaktadır.
Kuruluşlar, kataloglanmış güvenlik açıklarını derhal ele alarak siber güvenlik duruşlarını güçlendirebilir ve başarılı siber saldırı riskini azaltabilir.
İstismar Edilen Güvenlik Açığı İkilemi
Bitsight’ın analizine göre küresel şirketler kritik güvenlik açıklarını hızlı bir şekilde ele almakta zorlanıyor. 1,4 milyon kuruluştan elde edilen verilerden yararlanan rapor, kritik güvenlik açıklarının düzeltilmesinin ortalama 4,5 ay sürdüğünü ve bunların yüzde 60’ından fazlasının CISA’nın son teslim tarihlerinden sonra çözülemediğini ortaya koyuyor.
Yaygınlığına rağmen bilinen istismar edilen güvenlik açıkları (KEV’ler) kuruluşlar için bir sorun olmaya devam ediyor. Bitsight’ın Baş Risk Sorumlusu Derek Vadala, kritik KEV’ler için ortalama 4,5 aylık çözüm süresine işaret ederek güvenlik açığı iyileştirmesine öncelik verilmesi çağrısında bulunuyor. KEV kataloğunun %20’sini oluşturan fidye yazılımı güvenlik açıkları, fidye yazılımı olmayan KEV’lere göre 2,5 kat daha hızlı düzeltme çabalarına yol açar.
Federal kurumlar CISA’nın son tarihlerini karşılamada daha başarılı olsa da, teknoloji şirketleri 93 günlük daha hızlı iyileştirme süreciyle kritik KEV’lere en yüksek maruziyetle karşı karşıya kalıyor. Bitsight danışmanı Roland Cloutier, sorumluluk atama ve görünürlük sağlama konusundaki organizasyonel zorluklara dikkat çekerek gelişmiş güvenlik açığı yönetimi ihtiyacını vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.