Perşembe günü, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), bilinen kötüye kullanılan güvenlik açıkları (KEV) listesine altı güvenlik açığı daha ekledi.
Bunlardan üçü, Rus APT28 siber casusları tarafından Ukrayna hükümet kuruluşlarına ait Roundcube e-posta sunucularına girmek için kullanıldı.
Siber casusluk grubu (aynı zamanda BlueDelta, Fancy Bear olarak da izlenir) daha önce ülkenin askeri istihbarat servisi olan Rusya Genelkurmay Ana İstihbarat Müdürlüğü (GRU) ile bağlantılıydı.
Recorded Future’ın tehdit araştırma bölümü Insikt Group ve Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) ortak araştırmasına göre, saldırganlar Rusya-Ukrayna ihtilafından yararlanarak alıcıları güvenlik açıklarından yararlanmak için kötü amaçlı e-postalar açmaları için kandırdılar (CVE-2020-35730, CVE-2020-12641 ve CVE-2021-44026) Roundcube Webmail yazılımında ve yama uygulanmamış sunuculara yetkisiz erişim izni veriyor.
E-posta sunucularının güvenliği ihlal edildiğinde, keşif için kötü amaçlı komut dosyaları kullandılar, ilgilenilen e-postaları topladılar ve hedeflerin Roundcube adres defterini, oturum çerezlerini ve Roundcube veritabanında saklanan diğer değerli bilgileri çaldılar.
Soruşturma sırasında toplanan kanıtlar, bu kampanyanın birincil amacının Rusya’nın Ukrayna’yı işgalini desteklemek için askeri istihbaratı sızdırmak olduğunu gösteriyor.
Insikt Group, “Ukrayna’nın bölgesel bir savcılığını ve merkezi bir Ukrayna yürütme makamını büyük olasılıkla hedef alan BlueDelta faaliyetinin yanı sıra ek Ukrayna hükümet kuruluşları ve Ukrayna askeri uçak altyapısının modernizasyonu ve yenilenmesinde yer alan bir organizasyonu içeren keşif faaliyetini belirledik” dedi.
Federal kurumlara 13 Temmuz’a kadar yama yapma talimatı verildi
CISA’nın bugün KEV kataloğuna eklediği diğer güvenlik açıkları arasında, uzaktan kod yürütülmesine (CVE-2023-20887) izin veren artık yama uygulanmış kritik bir VMware hatasının yanı sıra bir Mozilla Firefox/Thunderbird (CVE-2016-9079) ve Microsoft Win32k ayrıcalık yükseltmesi ( CVE-2016-0165) kusurları 2016’da yamalandı.
ABD federal kurumları, sistemlerinin bu güvenlik açıklarından etkilenip etkilenmediğini kontrol etmeli ve 13 Temmuz’a kadar güvenliklerini sağlamak için gerekli güvenlik güncellemelerini veya hafifletmelerini uygulamalıdır.
Kasım 2021’de yayınlanan BOD 22-01 bağlayıcı operasyonel yönergesi uyarınca, Federal Sivil Yürütme Şube Ajansları (FCEB), şu anda 950’den fazla giriş içeren KEV kataloğunda listelenen tüm güvenlik açıkları için ağlarını değerlendirmeli ve güvenceye almalıdır.
KEV kataloğunun birincil odak noktası, federal kurumları istismar edilen ve mümkün olan en kısa sürede yama yapılması gereken güvenlik açıkları konusunda uyarmak olsa da, dünya çapındaki özel şirketlerin bu hataları ele almaya öncelik vermesi şiddetle tavsiye edilir.
Bu ayın başlarında siber güvenlik kurumu, ABD federal kurumlarına Clop siber suç çetesi tarafından veri hırsızlığı için kullanılan bir MOVEit güvenlik açığını düzeltme emri verdi.
Geçen hafta, CISA ayrıca devlet kurumlarından yanlış yapılandırılmış veya İnternet’e açık ağ ekipmanlarını keşfin ardından 14 gün içinde korumalarını isteyen bir emir yayınladı.