ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Çarşamba günü, aktif istismar nedeniyle Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna iki güvenlik açığı eklerken, yeterli kanıt bulunmaması nedeniyle listeden beş hatayı çıkardı.
Yeni eklenen güvenlik açıkları aşağıdadır –
- CVE-2023-42793 (CVSS puanı: 9,8) – JetBrains TeamCity Kimlik Doğrulamasını Atlama Güvenlik Açığı
- CVE-2023-28229 (CVSS puanı: 7,0) – Microsoft Windows CNG Anahtar Yalıtımı Hizmeti Ayrıcalığının Arttırılması Güvenlik Açığı
CVE-2023-42793, TeamCity Server’da uzaktan kod yürütülmesine izin veren kritik bir kimlik doğrulama atlama güvenlik açığıyla ilgilidir. GreyNoise tarafından toplanan veriler, bugüne kadar 74 benzersiz IP adresinden kusuru hedef alan istismar girişimlerini ortaya çıkardı.
Öte yandan, CVE-2023-28229, Microsoft Windows Şifreleme Yeni Nesil (CNG) Anahtar Yalıtım Hizmeti’nde bulunan ve bir saldırganın belirli sınırlı SİSTEM ayrıcalıkları elde etmesine olanak tanıyan yüksek önem derecesine sahip bir kusurdur.
Şu anda hatanın açık bir şekilde istismar edildiğini belgeleyen kamuya açık bir rapor bulunmuyor ve CISA, saldırılar veya istismar senaryoları hakkında daha fazla ayrıntı açıklamadı. Geçen ayın başlarında bir kavram kanıtı (PoC) kullanıma sunuldu.
Microsoft ise CVE-2023-28229’u “Kullanım Olasılığı Daha Az” değerlendirmesiyle etiketledi. Nisan 2023’te yayınlanan Salı Yaması güncellemelerinin bir parçası olarak teknoloji devi tarafından yama uygulandı.
Siber güvenlik kurumu ayrıca Owl Labs Meeting Owl’u etkileyen beş kusuru “yetersiz kanıt” nedeniyle KEV kataloğundan kaldırdı.
CVE-2022-31460 Haziran 2022’de eklenirken, 18 Eylül 2023’te dört güvenlik açığı daha (CVE-2022-31459, CVE-2022-31461, CVE-2022-31462 ve CVE-2022-31463) eklendi.
İki kusurun aktif olarak kullanıldığı göz önüne alındığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını potansiyel tehditlere karşı korumak için satıcı tarafından sağlanan yamaları 25 Ekim 2023’e kadar uygulamaları gerekiyor.