ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Cuma günü, Bilinen Yararlanılan Güvenlik Açıkları (KEV) Kataloğuna, Delta Electronics’in endüstriyel otomasyon yazılımını etkileyen yüksek düzeyde güvenlik açığı da dahil olmak üzere aktif olarak yararlanılan 10 yeni güvenlik açığı ekledi.
CVE-2021-38406 (CVSS puanı: 7.8) olarak izlenen sorun, DOPSoft 2’nin 2.00.07 ve önceki sürümlerini etkiliyor. Kusurun başarılı bir şekilde kullanılması, rastgele kod yürütülmesine neden olabilir.
CISA bir uyarıda, “Delta Electronics DOPSoft 2, belirli proje dosyalarını ayrıştırırken (yanlış giriş doğrulaması) kullanıcı tarafından sağlanan verilerin doğru bir şekilde doğrulanmamasından yoksundur, bu da kod yürütülmesine izin veren bir sınır dışı yazmaya neden olur,” dedi.
CVE-2021-38406’nın ilk olarak Eylül 2021’de yayınlanan bir endüstriyel kontrol sistemleri (ICS) tavsiyesinin parçası olarak açıklandığını belirtmekte fayda var.
Bununla birlikte, CISA’nın “etkilenen ürünün ömrünün sona erdiğini ve hala kullanımdaysa bağlantısının kesilmesi gerektiğini” belirttiği güvenlik açığını gideren herhangi bir yama yoktur. Federal Sivil Yürütme Şubesi (FCEB) kurumlarının 15 Eylül 2022’ye kadar yönergeyi izlemesi zorunludur.
Güvenlik açığından yararlanan saldırıların doğası hakkında fazla bilgi yok, ancak Palo Alto Networks Unit 42’nin yakın tarihli bir raporu, Şubat ve Nisan 2022 arasında kusurdan yararlanan vahşi saldırı örneklerine dikkat çekti.
Bu gelişme, düşmanların yeni yayınlanan güvenlik açıklarından ilk ortaya çıktıklarında yararlanmada daha hızlı oldukları ve gecikmeli yama uygulamasından yararlanmayı amaçlayan ayrım gözetmeyen ve fırsatçı tarama girişimlerine yol açtığı fikrine ağırlık katıyor.
Bu saldırılar genellikle, web kabukları, kripto madencileri, botnetler ve uzaktan erişim truva atlarını (RAT’ler) içeren belirli bir istismar sırasını takip eder ve ardından fidye yazılımının yolunu açan ilk erişim aracılarını (IAB’ler) takip eder.
Listeye eklenen diğer aktif olarak yararlanılan kusurlar arasında şunlar yer almaktadır:
- CVE-2022-26352 – dotCMS Sınırsız Dosya Yükleme Güvenlik Açığı
- CVE-2022-24706 – Apache CouchDB Kaynak Güvenlik Açığı Güvenli Olmayan Varsayılan Başlatma
- CVE-2022-24112 – Apache APISIX Kimlik Doğrulama Güvenlik Açığını Atlama
- CVE-2022-22963 – VMware Tanzu Spring Cloud İşlevinde Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2022-2294 – WebRTC Yığın Arabellek Taşması Güvenlik Açığı
- CVE-2021-39226 – Grafana Kimlik Doğrulaması Güvenlik Açığını Atlama
- CVE-2020-36193 – PEAR Archive_Tar Hatalı Bağlantı Çözünürlüğü Güvenlik Açığı
- CVE-2020-28949 – PEAR Archive_Tar Güvenilmeyen Veri Güvenlik Açığının Seri Halinden Çıkarılması
Listeye iOS ve macOS kusuru eklendi
KEV Kataloğuna eklenen bir diğer yüksek önemdeki kusur ise CVE-2021-31010 (CVSS puanı: 7.5), Apple’ın Core Telephony bileşeninde sanal alan kısıtlamalarını aşmak için kullanılabilecek bir seri durumdan çıkarma sorunu.
Teknoloji devi, Eylül 2021’de piyasaya sürülen iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (ve Güvenlik Güncellemesi 2021-005 Catalina) ve watchOS 7.6.2’deki eksikliği giderdi.
O sırada kusurun istismar edildiğine dair hiçbir belirti olmasa da, teknoloji devi, güvenlik açığını eklemek ve saldırılarda gerçekten kötüye kullanıldığını doğrulamak için 25 Mayıs 2022’de tavsiyelerini sessizce revize etmiş görünüyor.
Teknoloji devi, Citizen Lab ve Google Project Zero’ya keşif için kredi vererek, “Apple, bu sorunun piyasaya sürüldüğü sırada aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındaydı” dedi.
Eylül güncellemesi, her ikisi de Pegasus casus yazılımının yapımcıları olan NSO Group tarafından işletim sistemlerinin güvenlik özelliklerini aşmak için kullanılan CVE-2021-30858 ve CVE-2021-30860’ı düzeltmek için dikkate değerdir.
Bu, CVE-2021-31010’un korumalı alandan kaçmak ve rastgele kod yürütmesi sağlamak için bir saldırı zincirindeki yukarıda bahsedilen iki kusurla birlikte dizilmiş olma olasılığını artırır.