Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), şu anda aktif olarak sömürülen CVE-2024-38475 ve CVE-2023-44221 olmak üzere iki güvenlik açıkını ekleyerek bilinen sömürülen güvenlik açıklarını (KEV) kataloğunu güncelledi.
Bu güvenlik açıkları, özellikle federal sektördeki kuruluşlar için önemli siber güvenlik riskleri sunmaktadır. Her iki güvenlik açıkları da çeşitli endüstrilerde yaygın olarak kullanılan yüksek profilli ürünler, Apache HTTP Server ve Sonicwall SMA100 ile bağlantılıdır.
CVE-2024-38475: Apache HTTP Sunucusu Çıktının Yanlış Kaçması
Yeni eklenen güvenlik açıklarından biri olan CVE-2024-38475, 2.4.59’a kadar Apache HTTP sunucu sürümlerini etkiler. Güvenlik Araştırmacısı Orange Tsai tarafından Devcore’dan keşfedilen bu güvenlik açığı, Mod_rewrite modülündeki çıktının yanlış kaçmasından kaynaklanmaktadır. Kusur, saldırganların URL’leri manipüle etmesine, bunları normal web istekleri aracılığıyla genellikle erişilemeyen istenmeyen dosya sistemi yollarıyla eşlemesine izin verir. Bu, yetkisiz kod yürütülmesine veya hassas kaynak kodunun ifşa edilmesine yol açabilir.
Bu sorun, MOD_REWRITE’deki ikamelerin, ikamenin ilk segmentindeki geri referansları veya değişkenleri kullanmanın kullanılabileceği sunucu bağlamlarını özellikle etkiler. Sonuç olarak, saldırganlar sunucuyu keyfi komutlar yürütmeye veya dahili dosyaları ortaya çıkarmaya yönlendiren kötü niyetli URL’ler oluşturabilirler. Apache, ikamenin düzgün bir şekilde kısıtlandığından emin olmaları koşuluyla, kırık yeniden yazma ile uyumluluğu koruması gereken kullanıcılar için bir yeniden yazma bayrağı “ProfepRefixStat” kullanımını önerdi.
Güvenlik açığı, CWE-116 (Çıktı’nın yanlış kodlanması veya kaçması) altında sınıflandırılır ve Apache HTTP sunucusu sürümleri 2.4.0 ila 2.4.59’u etkiler. Kullanıcıların bu güvenlik açığı ile ilişkili riskleri azaltmak için en son yamaya yükseltmeleri tavsiye edilir.
CVE-2023-44221: Sonicwall SMA100 OS komut enjeksiyonu
Kataloğa eklenen ikinci güvenlik açığı CVE-2023-44221, Sonicwall’un SMA100 serisi SSL-VPN cihazlarını etkiler. Bu güvenlik açığı, SSL-VPN yönetim arayüzünde, özel elemanların yanlış nötralizasyonunun OS komut enjeksiyonuna yol açabileceği bir sorundan kaynaklanmaktadır. İdari ayrıcalıklara sahip saldırganlar, bu kusuru keyfi komutlar enjekte etmek için kullanabilir ve bu da potansiyel olarak temel işletim sisteminde kötü amaçlı komutların yürütülmesine yol açar.
Bu güvenlik açığı, yüksek düzeyde bir şiddet gösteren 7.2 CVSS V3 skoru atanmıştır. Öncelikle Sonicwall SMA 200, 210, 400, 410 ve 500V modellerini, sürüm 10.2.1.9-57SV veya daha önceki sürümleri çalıştırır. Sonicwall, kullanıcıları 10.2.1.10-62SV veya daha yüksek sürümüne yükseltmeye çağırarak bu sorunu ele almak için yamalar yayınladı.
CVE-2023-44221, CWE-78 (bir OS komutunda kullanılan özel elemanların yanlış nötralizasyonu) altında sınıflandırılır, bu da uzak saldırganların sistemleri tehlikeye atması için önemli bir vektör haline getirir. Sonicwall ayrıca, kırılganlığın vahşi doğada aktif olarak sömürüldüğünü ve etkilenen kuruluşlar için potansiyel tehdidini daha da artırdığını kabul etti.
Çözüm
CISA, CVE-2024-38475 ve CVE-2023-44221 eklemesiyle kanıtlandığı gibi, federal ve özel sektör sistemlerini aktif sömürüden korumak için güvenlik açıklarını belirlemede ve kataloglamada önemli bir rol oynamaktadır. Kuruluşların, etkilenen Apache HTTP sunucu sürümleri için yamalar uygulamak ve bu tehditleri azaltmak için ürün yazılımı sürümlerini güvence altına almak için Sonicwall SMA100 cihazlarını yükseltmek gibi derhal harekete geçmeleri istenir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.