Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara acil bir bildirim yayınlayarak hafifletme çabaları için son tarihi 23 Ocak olarak belirledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna iki önemli güvenlik açığı belirledi ve ekledi. Söz konusu güvenlik açıkları, Google Chrome’da yakın zamanda yamalanan bir kusuru ve Excel dosyalarındaki bilgileri okumak için tasarlanmış açık kaynaklı Perl kitaplığı “Spreadsheet::ParseExcel”i etkileyen bir hatayı içeriyor.
Belirli güvenlik açıkları aşağıdaki gibidir:
- CVE-2023-7024: Google Chromium WebRTC Yığın Arabelleği Taşması Güvenlik Açığı
- CVE-2023-7101: Elektronik Tablo::ParseExcel’de Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2023-7024:
CVE-2023-7024, Google Chrome’un WebRTC bileşeninde Aralık 2023’te keşfedilen kritik bir güvenlik açığıydı. Saldırganların, özel hazırlanmış bir HTML sayfası aracılığıyla yığın arabellek taşmasını potansiyel olarak istismar etmesine ve sonuçta kurbanın bilgisayarının kontrolünü ele geçirmesine olanak sağladı.
Google, güvenlik açığını Aralık 2023’te yamaladı ve Chrome tarayıcılarını yamalı sürüme güncelleyen kullanıcılar için artık bir tehdit olarak değerlendirilmiyor. Ancak, kendinizi gelecekteki güvenlik açıklarından korumak için tarayıcınızı ve diğer yazılımlarınızı güncel tutmanız önemlidir.
CVE-2023-7101
CVE-2023-7101, Excel dosyalarını ayrıştırmak için kullanılan bir Perl modülü olan Spreadsheet::ParseExcel’i etkileyen kritik bir güvenlik açığıdır. Uzaktan kod yürütme (RCE) riskini açığa çıkararak saldırganların özel hazırlanmış Excel dosyaları aracılığıyla potansiyel olarak savunmasız bir sistemin kontrolünü ele geçirmesine olanak tanır.
Bu güvenlik açığı, saldırganların güvenlik açığı bulunan bir sisteme kötü amaçlı bir Excel dosyası yüklemesine olanak tanıyor. Güvenlik açığından Sayı biçimi dizelerinin değerlendirilmesi yoluyla da yararlanılabilir ve bu da sistemde rastgele kod yürütülmesine yol açabilir. Bu, saldırganların hassas verileri (şifreler, kişisel bilgiler vb.) çalmasına, kötü amaçlı yazılım yüklemesine, sistem işlemlerini kesintiye uğratmasına ve etkilenen sistemin tam kontrolünü ele geçirmesine olanak tanıyabilir.
Spreadsheet::ParseExcel sürüm 0.65’e bağımlı yazılıma sahip işletim sistemleri kullanan kullanıcılar şu anda bu güvenlik riskine maruz kalmaktadır. Bu güvenlik açığı, Perl ile geliştirilen çeşitli uygulama ve çerçevelere erişimini genişletiyor ve böylece geniş bir sistem yelpazesini potansiyel olarak etkiliyor.
Tespit edilen güvenlik açığını gidermek için Metacpan tarafından yamalı bir sürüm olan 0.66 yayımlandı. Bir önlem olarak, kullanıcıların bu yamalı sürüme derhal güncelleme yapmaları önemle tavsiye edilir. Anında güncellemenin mümkün olmadığı durumlarda, dosya yüklemelerini kısıtlamak veya Spreadsheet::ParseExcel ile ilişkili işlevselliği devre dışı bırakmak gibi azaltıcı önlemlerin uygulanması önerilir.
CISA, federal kurumlara, hafifletme çabaları için 23 Ocak’a kadar son tarih belirleyen acil bir bildirim yayınladı. Ajanslara, bu güvenlik açıklarını derhal çözmeleri veya etkilenen ürünlerin kullanımını durdurmaları için satıcı yönergelerini takip etmeleri talimatı verilmektedir.
CVE-2023-7101 güvenlik açığıyla ilgili bilgi edinmek için Qualys Tehdit Araştırma Birimi Baş Tehdit İstihbaratı Analisti Bay Aubrey Perin’e ulaştık ve kendisi Hackread.com’a şunları söyledi: “CVE-2023-7101, Perl kütüphanesindeki bir güvenlik açığıdır. ağ ve e-posta güvenlik firması Barracuda’nın cihazlarda kullanımıyla kanıtlanan dikkate değer bir çekiş gücü.”
Aubrey, “İşletmelerin, güncelleme veya kaldırma gerektiren ‘Spreadsheet::ParseExcel’ örnekleri için ortamlarını kapsamlı bir şekilde değerlendirmeleri tavsiye edilir” dedi. “Barracuda’nın gözlemleri, Çinli tehdit aktörlerinin bu güvenlik açığını kötü amaçlı yazılım dağıtmak için kullandığını gösteriyor. Güvenlik açığı artık halka açık olduğundan, fidye yazılımı tehdit aktörlerinin bunu kötü amaçlı araçları için kullanma riski artıyor” diye uyardı Aubrey.
İLGİLİ MAKALELER
- CISA, ESXiArgs Fidye Yazılımı Kurbanları için Kurtarma Aracı Sunuyor
- CISA, Ücretsiz Siber Güvenlik Araç ve Hizmetlerinin Listesini Yayınladı
- FBI ve CISA, Kaçak Fidye Yazılımı Tehdidi Konusunda Ortak Tavsiye Kararı Yayınladı
- Yeni CISA Tavsiyeleri En İyi ICS Ürünlerindeki Güvenlik Açıklarını Vurguluyor
- CISA, Controls’un Osprey Pompa Kontrol Cihazı olan Propump’taki Kusurlara Karşı Uyardı