CISA bugün federal kurumlara, aktif olarak yararlanılan güvenlik açıkları listesine eklenen ve bu ayın Android güvenlik güncellemeleriyle giderilen yüksek önem düzeyine sahip bir Arm Mali GPU çekirdek sürücüsü ayrıcalığı yükseltme kusurunu düzeltmeleri için talimat verdi.
Kusur (CVE-2021-29256 olarak izlenir), saldırganların GPU belleğinde uygun olmayan işlemlere izin vererek kök ayrıcalıklarına yükseltmesine veya hedeflenen Android cihazlardaki hassas bilgilere erişmesine olanak tanıyan bir ücretsiz kullanımdan sonra zayıflıktır.
Arm’ın danışma belgesinde, “Ayrıcalık sahibi olmayan bir Kullanıcı, halihazırda boşalmış belleğe erişim elde etmek için GPU belleğinde uygunsuz işlemler yapabilir ve kök ayrıcalığı elde edebilir ve/veya bilgileri ifşa edebilir.”
“Bu sorun Bifrost ve Valhall GPU Çekirdek Sürücüsü r30p0’da düzeltildi ve Midgard Çekirdek Sürücüsü r31p0 sürümünde düzeltildi. Kullanıcıların bu sorundan etkilendikleri takdirde yükseltme yapmaları önerilir.”
Android işletim sistemi için bu ayki güvenlik güncellemeleriyle Google, saldırılarda kötüye kullanıldığı etiketlenen iki güvenlik açığını daha yamaladı.
CVE-2023-26083, Aralık 2022’de Samsung cihazlarına casus yazılım gönderen bir istismar zincirinin parçası olarak kullanılan Arm Mali GPU sürücüsünde orta düzeyde bir bellek sızıntısı hatasıdır.
CVE-2023-2136 olarak izlenen ve kritik önem derecesi olarak derecelendirilen üçüncü bir güvenlik açığı, Google’ın açık kaynaklı bir çok platformlu 2D grafik kitaplığı olan Skia’sında bulunan bir tamsayı taşması hatasıdır. Özellikle Skia, Nisan ayında sıfır gün hatası olarak ele alındığı Google Chrome web tarayıcısıyla birlikte kullanılıyor.
Federal kurumlara Android cihazları 3 hafta içinde koruma talimatı verildi
ABD Federal Sivil Yürütme Şube Teşkilatlarına (FCEB), bugün CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları listesine eklenen CVE-2023-20963 güvenlik açığını hedefleyen saldırılara karşı cihazlarını korumaları için 28 Temmuz’a kadar süre verildi.
Kasım 2021’de yayınlanan bağlayıcı operasyonel yönergeye (BOD 22-01) göre, federal kurumlar CISA’nın KEV kataloğunda belirtilen tüm güvenlik açıklarını kapsamlı bir şekilde değerlendirmek ve gidermekle yükümlüdür.
Katalog öncelikle ABD federal kurumlarına odaklansa da, özel şirketlerin CISA kataloğunda listelenen tüm güvenlik açıklarına öncelik vermesi ve yama yapması da şiddetle tavsiye edilir.
CISA bugün yaptığı açıklamada, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sıklıkla kullanılan saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.”
Bu haftanın başlarında siber güvenlik ajansı, TrueBot kötü amaçlı yazılım operasyonunun arkasındaki saldırganların, hedeflerin ağlarına ilk erişim için Netwrix Auditor yazılımındaki kritik bir uzaktan kod yürütme (RCE) güvenlik açığından yararlandığı konusunda uyardı.
Bir hafta önce CISA, birden çok sektördeki ABD kuruluşlarını hedef alan dağıtılmış hizmet reddi (DDoS) saldırıları konusunda da uyarıda bulunmuştu.