Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), şu anda vahşi ortamda istismar edilen dört kritik güvenlik açığı konusunda uyardı.
Bu güvenlik açıkları, yönlendiricilerden yazılım platformlarına kadar çeşitli ürünleri etkileyerek dünya çapındaki kullanıcılar için önemli riskler oluşturmaktadır.
D-Link, DrayTek, Motion Spell ve SAP ürünlerinde güvenlik açıkları tespit edildi.
CVE-2023-25280: D-Link DIR-820 Yönlendirici İşletim Sistemi Komut Ekleme Güvenlik Açığı
İlk güvenlik açığı CVE-2023-25280, D-Link DIR-820 yönlendiricisini etkiliyor. Bu işletim sistemi komut ekleme kusuru, kimliği doğrulanmamış uzak saldırganların, ping.ccp bileşenindeki ping_addr parametresinden yararlanarak ayrıcalıkları root’a yükseltmesine olanak tanır.
Fidye yazılımı kampanyalarıyla doğrulanmış bir bağlantı olmamasına rağmen, kötüye kullanım potansiyeli oldukça yüksektir.
Etkilenen ürünün kullanım ömrünün (EoL) ve hizmetin (EoS) sonuna ulaşması, CISA’nın kullanıcılara ürünü kullanmayı derhal bırakmalarını önermesini sağladı.
CVE-2020-15415: DrayTek Çoklu Vigor Yönlendiricilerinde İşletim Sistemi Komut Ekleme Güvenlik Açığı
Bir diğer kritik güvenlik açığı olan CVE-2020-15415, DrayTek’in Vigor3900, Vigor2960 ve Vigor300B yönlendiricilerini etkiliyor. Bu kusur, cgi-bin/mainfunction.cgi/cvmcfgupload bileşeninde bir işletim sistemi komut ekleme güvenlik açığını içermektedir.
text/x-python-script içerik türünü kullanırken dosya adındaki kabuk meta karakterleri aracılığıyla uzaktan kod yürütülmesine olanak tanır.
Kullanıcılara satıcının talimatlarına göre azaltıcı önlemleri uygulamaları veya herhangi bir azaltıcı önlem mevcut değilse kullanımı durdurmaları önerilir. Bu güvenlik açığının fidye yazılımı kampanyalarında nasıl kullanıldığı henüz bilinmiyor.
CVE-2021-4043: Hareket Büyüsü GPAC’de Boş İşaretçi Referansını Kaldırma Güvenlik Açığı
Üçüncü güvenlik açığı CVE-2021-4043, Motion Spell’in GPAC yazılımında bulunuyor. Bu boş işaretçi referansını kaldırma güvenlik açığı, yerel bir saldırganın hizmet reddi (DoS) durumunu tetiklemesine olanak sağlayabilir.
Bu güvenlik açığının fidye yazılımı etkinlikleriyle bağlantılı olduğuna dair hiçbir kanıt olmasa da, medya işleme görevleri için GPAC’a güvenen kullanıcılar için bu durum endişe kaynağı olmaya devam ediyor. CISA, satıcı tarafından önerilen azaltıcı önlemlerin uygulanmasını veya gerekirse kullanımın durdurulmasını önerir.
CVE-2019-0344: Güvenilmeyen Veri Güvenlik Açığında SAP Commerce Cloud’un Seriden Çıkarılması
Son olarak CVE-2019-0344, SAP Commerce Cloud’u (eski adıyla Hybris) etkiliyor. Güvenilmeyen verinin seri durumdan çıkarılmasına yönelik bu güvenlik açığı, mediaconversion ve virtualjdbc uzantılarında mevcut olup potansiyel kod ekleme saldırılarına olanak tanır.
Diğer güvenlik açıklarında olduğu gibi bunların da fidye yazılımı kampanyalarıyla ilişkili olduğu bilinmiyor. Kullanıcılar etkiyi azaltmak için satıcının talimatlarını izlemeli veya etkilenen bileşenleri kullanmayı bırakmalıdır.
Acil Eylem Gerekiyor
CISA’nın tavsiye niteliğindeki uyarısı, bu güvenlik açıklarının 21 Ekim 2024’e kadar giderilmesinin aciliyetinin altını çiziyor. Bu ürünleri kullanan kuruluşlar ve bireyler, sistemlerini potansiyel istismardan korumak için derhal harekete geçmelidir.
Ajans, mevcut yamaların veya azaltıcı önlemlerin uygulanmasını ve gerektiğinde kullanımın durdurulmasını önerir.