ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), federal kurumlara, ağlarındaki Adobe ColdFusion sunucularını biri sıfır gün olmak üzere saldırılarda kullanılan iki kritik güvenlik açığına karşı korumaları için üç hafta süre verdi.
CISA tarafından Kasım 2021’de yayınlanan bağlayıcı operasyonel yönergeye (BOD 22-01) göre, Federal Sivil Yürütme Şube Ajanslarının (FCEB) sistemlerini Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklenen tüm hatalara karşı yamalaması gerekmektedir.
En son güncellemeyle, tüm ABD FCEB kurumlarına iki hatayı (CVE-2023-29298 ve CVE-2023-38205) 10 Ağustos’a kadar gidermeleri talimatı verildi.
Kataloğun birincil odak noktası federal kurumlar olsa da, özel şirketlere de iki güvenlik açığını önceliklendirmeleri ve derhal ele almaları şiddetle tavsiye edilir.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
ColdFusion karışıklığı
Adobe, 11 Temmuz’da CVE-2023-29298 erişim denetimi atlaması ve CVE-2023-29300 ön kimlik doğrulaması RCE güvenlik açıklarını ele aldı.
İki gün sonra Rapid7, saldırganların CVE-2023-29298 ve CVE-2023-29300/CVE-2023-38203 gibi görünen güvenlik açıklarını, arka kapılı cihazlara ilk erişim elde etmek için savunmasız ColdFusion sunucularına yerleştirmek için zincirleme açıklarını gözlemlediğini söyledi.
17 Temmuz Pazartesi günü Rapid7, CVE-2023-29298 yaması (artık CVE-2023-38205 olarak izleniyor) için zaten saldırılarda kullanılan bir baypas buldu.
Rapid7, “Rapid7 araştırmacıları 17 Temmuz Pazartesi günü, Adobe’nin 11 Temmuz’da CVE-2023-29298 için sağladığı düzeltmenin eksik olduğunu ve önemsiz bir şekilde değiştirilmiş bir istismarın ColdFusion’ın (14 Temmuz’da piyasaya sürülen) en son sürümüne karşı hala çalıştığını belirledi” dedi.
Adobe, 19 Temmuz’da aktif olarak istismar edilen yeni sıfır gün CVE-2023-38205’i ele almak için acil durum güvenlik güncellemeleri yayınladı ve müşterileri “Adobe ColdFusion’u hedef alan sınırlı saldırılarda” vahşi ortamda kötüye kullanıldığı konusunda uyardı.
CISA, bu hafta federal kurumlardan CVE-2023-3519 uzaktan kod yürütme (RCE) hatasına karşı savunmasız Citrix sunucularını 9 Ağustos’a kadar korumalarını isteyen ikinci bir emir yayınladı.
Shadowserver Foundation güvenlik araştırmacılarının ortaya koyduğu gibi, çevrimiçi açığa çıkan en az 11.170 Citrix Netscaler cihazı, kusurdan yararlanan saldırılara karşı muhtemelen savunmasızdır.