ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları kataloğuna dört güvenlik açığı ekledi, federal ajansları ve büyük kuruluşları mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaya çağırdı.
Bunlar arasında, yaygın olarak kullanılan iki yazılım uygulaması olan Microsoft .NET Framework ve Apache Ofbiz’i (iş için açık) etkileyen kusurlar bulunmaktadır.
Ajans bu kusurları saldırılarda aktif olarak sömürülen olarak işaretlemesine rağmen, kötü niyetli faaliyet, onu yürüten ve kime karşı özel ayrıntılar sağlamamıştır.
CVE-2024-29059 altında izlenen ilk kusur, Kod White tarafından keşfedilen ve Kasım 2023’te Microsoft’a açıklanan .NET çerçevesinde yüksek şiddetli (CVSS V3 Puanı: 7.5) bilgi açıklama hatasıdır.
Microsoft, açıklama raporunu Aralık 2023’te “Dikkatli bir araştırmadan sonra, bu davanın derhal servis için çubuğumuzu karşılamadığını belirledik.”
Bununla birlikte, Microsoft nihayetinde Ocak 2024 güvenlik güncellemelerinde kusuru düzeltti, ancak yanlışlıkla bir CVE yayınlamadı veya araştırmacıları kabul etmedi.
Şubat ayında, Code White teknik detayları ve .NET uzaktan saldırıları gerçekleştirmek için kullanılabilecek dahili nesne URI’leri sızdırmak için bir konsept sömürüsü yayınladı.
Microsoft nihayet Mart 2024’te CVE-2024-29059 uyarınca bu kusur için bir danışmanlık yayınladı ve keşfi araştırmacılara bağladı.
OFBIZ KÜÇÜK Apache CVE-2024-45195’tir, kritik bir şiddet (CVSS V3 skoru: 9.8) Uzak Kod Yürütme Güvenlik Açığı 18.12.16’dan önce BIZ etkisi.
Kusur, sınırlı yolları kime doğrulanmamış doğrudan istek saldırılarına maruz bırakan zorla göz atma zayıflığından kaynaklanır.
Kusur başlangıçta bir kavram kanıtı (POC) istismarı sunan Rapid7 tarafından keşfedilirken, satıcı Eylül 2024’te düzeltildi.
Kullanıcıların, belirli riski ele alan Apache Ofbiz sürüm 18.12.16 veya üstüne yükseltmeleri önerilir.
Şimdi CISA, potansiyel olarak etkileyen ajansları ve kuruluşları 25 Şubat 2025 yılına kadar mevcut yamaları ve hafifletmeyi uygulamaya veya ürünleri kullanmayı bırakmaya çağırıyor.
Bu kez KEV’ye eklenen diğer iki kusur CVE-2018-9276 ve CVE-2018-19410’dur ve her ikisi de Paessler PRTG Ağ İzleme Yazılımını etkilemektedir. Sorunlar Haziran 2018’de yayınlanan 18.2.41.1652 sürümünde sabitlendi.
Birincisi bir OS komut enjeksiyon problemidir ve ikincisi yerel bir dosya içerme güvenlik açığıdır. Bunlar için yama son tarihi 25 Şubat 2025’e ayarlandı.
Ne yazık ki, bu kusurlardan herhangi birinin saldırılarda nasıl sömürüldüğüne dair hiçbir bilgi yok.