ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna CVE-2023-28461 adlı kritik bir güvenlik açığını ekledi. Bu güvenlik açığı şunları etkiler: Array Networks, güvenli uygulama dağıtımı ve VPN çözümleri sağlayan ve özellikle 9.4.0.481 ve önceki sürümleri çalıştıran ArrayOS AG ve vxAG serilerini etkileyen bir şirkettir.
Güvenlik açığı, sınıfUygunsuz Kimlik Doğrulama Güvenlik Açığı olarak tanımlanan bu güvenlik açığı, saldırganların v üzerinde uzaktan kod yürütmek için bu kusurdan yararlanmasına olanak tanıryenilmez sistemler. CISA’nın resmi tavsiyesine göre bu kusur, kimlik doğrulamayı atlamak ve etkilenen cihazlarda rastgele kod çalıştırmak için kullanılabilir.
Bir saldırgan, özel hazırlanmış bir HTTP isteği aracılığıyla bu güvenlik açığından yararlanabilir.yerel dosyalara yetkisiz erişime sahiptir veya potansiyel olarak SSL VPN ağ geçidinde uzaktan kod yürütülmesine yol açar.
CVE-2023-28461’in Ayrıntıları: Uzaktan Kod Yürütme Riski
Güvenlik açığı şurada yatıyor: Array AG ve vxAG ürünleriişletmeler için güvenli VPN hizmetleri sağlamak üzere tasarlanmıştır. Bu cihazlar ArrayOS AG’yi çalıştırıyor ve kusur özellikle 9.4.0.481’e kadar olan sürümlerde mevcut. Bir saldırgan, bu güvenlik açığından yararlanarak, kimlik doğrulama gerektirmeden sistemin dosya sistemine göz atmak için HTTP başlığındaki flags özelliğini kullanabilir. Başarılı bir şekilde yararlanılırsa bu, saldırganların cihazda uzaktan kod yürütmesine olanak tanır ve potansiyel olarak sistemin tamamen ele geçirilmesine yol açar.
Array Networks’ün Güvenlik Danışma Belgesine göre bu sorun, savunmasız bir URL aracılığıyla istismar edilerek saldırganların hassas dosyaları okuma veya rastgele komutlar yürütme gibi çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanınabilir. Güvenlik açığı, kritik işlevler için kimlik doğrulamanın eksik olmasından kaynaklanıyor ve bu durum, özellikle Array Networks ürünlerinin dahili iletişimin güvenliğini sağlamak için kullanıldığı ortamlarda ciddi güvenlik ihlallerine yol açabilir.
Sömürü ve Etki
CISA’nın bu güvenlik açığını KEV kataloğuna dahil etmesi, etkilenen ürünleri kullanan kuruluşlar için ciddi bir risk olduğunu gösteriyor. Exploit Tahmin Puanlama Sistemi (EPSS), önümüzdeki 30 gün içinde istismar faaliyeti olasılığını %0,32 olarak gösteriyor. Bu düşük gibi görünse de, yaygın olarak kullanılan ağ ve güvenlik cihazlarındaki güvenlik açıkları genellikle tehdit aktörleri tarafından hızlı bir şekilde istismar ediliyor ve bu durum, erken müdahaleyi hayati hale getiriyor.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), güvenlik açığına 9,8’lik kritik önem derecesi atadı. Bu yüksek puan, saldırganların hassas dosyaları okumasına, rastgele kod yürütmesine ve etkilenen sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmasına olanak tanıyan bir istismarın potansiyel etkisini yansıtıyor.
Güvenlik açığı, çeşitli Array Networks ürünlerini, özellikle de ArrayOS AG sürüm 9.x’i (9.4.0.481 dahil) çalıştıran Array AG serisini ve aynı yazılım sürüm aralığındaki vxAG serisini etkilemektedir. Ancak Array Networks AVX, APV, ASF veya ArrayOS AG sürüm 10.x veya üstünü çalıştıran daha yeni AG/vxAG serisi ürünlerini etkilemez.
Çözüm
CVE-2023-28461, Array Networks AG ve vxAG ürünlerini etkileyen, uzaktan kod yürütme ve ciddi güvenlik ihlalleri potansiyeli olan kritik bir Uygunsuz Kimlik Doğrulama Güvenlik Açığıdır. CISA’nın bu güvenlik açığını KEV kataloğuna dahil etmesi, kuruluşların acilen harekete geçmesinin aciliyetinin altını çiziyor.
Etkilenen kullanıcılara, satıcının yamalarını uygulamaları veya bir düzeltme mevcut değilse güvenlik açığı bulunan sürümleri kullanmayı bırakmaları önemle tavsiye edilir. Geçici çözümler riskleri geçici olarak azaltabilirken, diğer özellikleri de etkileyebilir, bu da yamaların zamanında uygulanmasının önemini vurgular. İşletmeler büyük ölçüde VPN’lere ve uzaktan erişime bağımlı olduğundan, CVE-2023-28461 gibi güvenlik açıklarının ele alınması güvenliğin sürdürülmesi açısından çok önemlidir.
İlgili