Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna iki yeni güvenlik açığının eklendiğini duyurdu.
Yaygın olarak kullanılan teknolojilerdeki bu güvenlik açıkları, kötü niyetli aktörler tarafından aktif olarak istismar edilmekte ve federal ve özel kuruluşlar için önemli riskler oluşturmaktadır.
CVE-2024-20481: Cisco ASA ve FTD Hizmet Reddi Güvenlik Açığı
İlk güvenlik açığı olan CVE-2024-20481, Cisco Adaptive Security Appliance’ı (ASA) ve Firepower Threat Defense’i (FTD) etkiliyor.
Bu kusur, saldırganların hizmet reddi (DoS) saldırıları yürütmesine, potansiyel olarak kritik güvenlik işlevlerini kesintiye uğratmasına ve ağların açığa çıkmasına olanak tanır.
Ulusal Siber Güvenlik Farkındalığı Ayı Siber Zorluklar – Becerilerinizi Şimdi Test Edin
Cisco ASA ve FTD, birçok kuruluşun siber güvenlik altyapısının ayrılmaz bileşenleridir ve bu güvenlik açığını özellikle endişe verici hale getirmektedir.
CVE-2024-37383: Roundcube Web Postası Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı
İkinci güvenlik açığı olan CVE-2024-37383, popüler bir açık kaynaklı web posta istemcisi olan Roundcube Webmail’i hedef alıyor.
Bu siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, saldırganların kullanıcılar tarafından görüntülenen web sayfalarına kötü amaçlı komut dosyaları eklemesine olanak tanıyarak hassas bilgilere yetkisiz erişime yol açabilir.
Roundcube’un e-posta iletişimlerini yönetmede yaygın kullanımı göz önüne alındığında, bu kusur veri bütünlüğü ve gizliliği açısından önemli bir risk oluşturmaktadır.
Bu güvenlik açıkları, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında CISA’nın Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna eklenmiştir.
Bu yönerge, Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlerden korumak için belirlenen güvenlik açıklarını belirli son tarihlere göre ele almasını zorunlu kılmaktadır.
BOD 22-01 özellikle FCEB kurumlarını hedef alsa da CISA, tüm kuruluşlara siber güvenlik uygulamalarının bir parçası olarak bu güvenlik açıklarını gidermeye öncelik vermelerini şiddetle tavsiye etmektedir.
CISA, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için zamanında güncelleme ve yamaların önemini vurgulamaktadır.
Ajans, yeni tehditler ortaya çıktıkça kataloğu güncellemeye devam edecek ve kuruluşları siber güvenlik çabalarında dikkatli ve proaktif olmaya teşvik edecek.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here