ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif istismara dair kanıtlara dayanarak Versa Director’ı etkileyen bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2024-39717 (CVSS puanı: 6.6) olarak izlenen orta şiddetteki güvenlik açığı, bir tehdit aktörünün görünüşte zararsız bir PNG resim dosyası gibi göstererek kötü amaçlı bir dosyayı yüklemesine olanak tanıyan “Favicon’u Değiştir” özelliğini etkileyen bir dosya yükleme hatasıdır.
CISA, bir duyuru yazısında, “Versa Director GUI’si, Sağlayıcı-Veri-Merkezi-Yöneticisi veya Sağlayıcı-Veri-Merkezi-Sistem-Yöneticisi ayrıcalıklarına sahip yöneticilerin kullanıcı arayüzünü özelleştirmesine olanak tanıyan tehlikeli türde güvenlik açığı içeren sınırsız dosya yüklemesi içeriyor” dedi.
“‘Favicon’u Değiştir’ (Favori Simge) .png dosyasının yüklenmesini sağlar ve bu, bir resim gibi gizlenmiş .PNG uzantılı kötü amaçlı bir dosyanın yüklenmesi için kullanılabilir.”
Ancak başarılı bir istismar ancak Provider-Data-Center-Admin veya Provider-Data-Center-System-Admin ayrıcalıklarına sahip bir kullanıcı başarıyla kimlik doğrulaması yapıp oturum açtıktan sonra mümkün olur.
CVE-2024-39717’nin istismarına ilişkin kesin koşullar belirsiz olsa da, NIST Ulusal Güvenlik Açığı Veritabanı’ndaki (NVD) güvenlik açığının açıklamasında, Versa Networks’ün bir müşterinin hedef alındığı doğrulanmış bir örnekten haberdar olduğu belirtiliyor.
“2015 ve 2017’de yayınlanan Güvenlik Duvarı yönergeleri o müşteri tarafından uygulanmadı,” açıklamasında belirtiliyor. “Bu uygulanmama, kötü niyetli kişinin GUI kullanmadan bu güvenlik açığından yararlanabilmesine neden oldu.”
Federal Sivil Yürütme Organı (FCEB) kurumlarının, 13 Eylül 2024 tarihine kadar tedarikçi tarafından sağlanan düzeltmeleri uygulayarak bu açığı önlemek için önlem almaları gerekiyor.
Gelişme, CISA’nın KEV kataloğuna 2021 ve 2022’den dört güvenlik açığı eklemesinden birkaç gün sonra geldi –
- CVE-2021-33044 (CVSS puanı: 9,8) – Dahua IP Kamera Kimlik Doğrulama Baypas Güvenlik Açığı
- CVE-2021-33045 (CVSS puanı: 9,8) – Dahua IP Kamera Kimlik Doğrulama Baypas Güvenlik Açığı
- CVE-2021-31196 (CVSS puanı: 7.2) – Microsoft Exchange Server Bilgi Açıklama Güvenlik Açığı
- CVE-2022-0185 (CVSS puanı: 8.4) – Linux Kernel Yığın Tabanlı Arabellek Taşması Güvenlik Açığı
Çin bağlantılı UNC5174 (diğer adıyla Uteus veya Uetus) kod adlı bir tehdit aktörünün, Mart ayının başlarında Google’a ait Mandiant tarafından CVE-2022-0185’in istismar edilmesinden sorumlu tutulduğunu belirtmekte fayda var.
CVE-2021-31196, başlangıçta toplu olarak ProxyLogon, ProxyShell, ProxyToken ve ProxyOracle olarak izlenen çok sayıda Microsoft Exchange Server güvenlik açığının bir parçası olarak açıklandı.
OP Innovate, “CVE-2021-31196, tehdit aktörlerinin yama uygulanmamış Microsoft Exchange Server örneklerini hedef aldığı etkin istismar kampanyalarında gözlemlendi,” dedi. “Bu saldırılar genellikle hassas bilgilere yetkisiz erişim elde etmeyi, ayrıcalıkları yükseltmeyi veya fidye yazılımı veya kötü amaçlı yazılım gibi daha fazla yük dağıtmayı hedefler.”