ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Bilinen Suistimal Edilen Güvenlik Açıkları kataloğuna iki güvenlik açığı ekledi; Google Chrome’da yakın zamanda yamalanan bir kusur ve Spreadsheet::ParseExcel adlı bir Excel dosyasındaki bilgileri okumak için açık kaynaklı Perl kitaplığını etkileyen bir hata.
Amerika’nın siber savunma kurumu, federal kurumlara satıcı talimatlarına göre CVE-2023-7024 ve CVE-2023-7101 olarak takip edilen iki güvenlik sorununu hafifletmeleri veya savunmasız ürünleri kullanmayı bırakmaları için 23 Ocak’a kadar süre verdi.
Elektronik tablo::ParseExcel RCE
CISA’nın Bilinen Suistimal Edilen Güvenlik Açıklarına (KEV) eklediği ilk sorun, Spreadsheet::ParseExcel kitaplığının 0.65 ve daha eski sürümlerini etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-7101’dir.
“Spreadsheet::ParseExcel, bir dosyadan doğrulanmamış girdinin dize tipi bir “eval”e aktarılması nedeniyle uzaktan kod yürütme güvenlik açığı içeriyor. Özellikle sorun, Excel ayrıştırma mantığı içindeki Sayı biçimi dizelerinin değerlendirilmesinden kaynaklanıyor”, CISA’nın kusur açıklamasında yazıyor.
Spreadsheet::ParseExcel, Excel dosyalarında veri içe/dışa aktarma işlemlerine, analiz ve otomasyon komut dosyaları çalıştırmaya olanak tanıyan genel amaçlı bir kitaplıktır. Ürün ayrıca Perl tabanlı web uygulamalarında Excel dosya işleme için bir uyumluluk katmanı da sağlar.
Açık kaynak kitaplığını kullanan ürünlerden biri, Aralık ayı sonlarında, elektronik tablo::ParseExcel’deki CVE-2023-7101’i kullanarak cihazları tehlikeye atan Çinli bilgisayar korsanları tarafından hedef alınan Barracuda ESG’dir (E-posta Güvenlik Ağ Geçidi).
Siber güvenlik firması Mandiant ile iş birliği yapan Barracuda, saldırıların arkasındaki tehdit aktörünün ‘SeaSpy’ ve ‘Saltwater’ kötü amaçlı yazılımını dağıtmak için kusurdan yararlanan UNC4841 olduğunu değerlendiriyor.
Barracuda, ESG için azaltıcı önlemleri 20 Aralık’ta uyguladı ve CVE-2023-7101’i ele alan bir güvenlik güncellemesi 29 Aralık 2023’te Spreadsheet::ParseExcel sürüm 0.66 ile kullanıma sunuldu.
Google Chrome arabellek taşması
KEV’e eklenen ve aktif olarak yararlanılan en son güvenlik açığı, Google Chrome web tarayıcısındaki WebRTC’de bir yığın arabellek taşması sorunu olan CVE-2023-7024’tür.
CISA’nın kusurla ilgili özetinde şöyle yazıyor: “Web tarayıcılarına gerçek zamanlı iletişim sağlayan açık kaynaklı bir proje olan Google Chromium WebRTC, bir saldırganın çökmelere veya kod yürütülmesine neden olmasına olanak tanıyan bir yığın arabellek taşması güvenlik açığı içeriyor.”
Ajans, “Bu güvenlik açığı, Google Chrome dahil ancak bununla sınırlı olmamak üzere WebRTC kullanan web tarayıcılarını etkileyebilir” diye ekliyor.
Kusur, Google’ın Tehdit Analiz Grubu (TAG) tarafından keşfedildi ve 20 Aralık’ta Windows için 120.0.6099.129/130 ve Mac ve Linux için 120.0.6099.129 sürümlerinde acil durum güncellemesi aracılığıyla bir düzeltme alındı.
Bu, Google’ın 2023 için Chrome’da düzelttiği sekizinci sıfır gün güvenlik açığıydı ve bilgisayar korsanlarının yaygın olarak kullanılan web tarayıcısındaki kusurları bulmaya ve bunlardan yararlanmaya ayırdığı ısrarlı çabanın ve zamanın altını çiziyordu.
CISA’nın KEV kataloğu, dünya genelinde daha iyi güvenlik açığı yönetimi ve önceliklendirmeyi amaçlayan kuruluşlar için değerli bir kaynaktır.