CISA, saldırganların artık, kimlik doğrulama öncesi uzaktan kod yürütme saldırıları için kritik bir ayrıcalık yükseltme kusuruyla zincirlenebilecek bir Microsoft SharePoint kod ekleme güvenlik açığından yararlandıkları konusunda uyarıyor.
CVE-2023-24955 olarak izlenen bu SharePoint Sunucusu güvenlik açığı, Site Sahibi ayrıcalıklarına sahip kimliği doğrulanmış saldırganların güvenlik açığı bulunan sunucularda uzaktan kod yürütmesine olanak tanır.
İkinci kusur (CVE-2023-29357), uzak saldırganların sahte JWT kimlik doğrulama belirteçleri kullanarak kimlik doğrulamayı atlatarak güvenlik açığı bulunan SharePoint sunucularında yönetici ayrıcalıkları elde etmesine olanak tanıyor.
STAR Labs araştırmacısı Nguyễn Tiến Giang (Janggggg) gibi, bu iki SharePoint Sunucusu güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından yama uygulanmamış sunucularda RCE kazanmak için zincirlenebilir. gösterdi geçen yıl Mart 2023'te Vancouver'da düzenlenen Pwn2Own yarışması sırasında.
Güvenlik araştırmacısının istismar sürecini açıklayan bir teknik analiz yayınlamasından bir gün sonra, 25 Eylül'de GitHub'da bir CVE-2023-29357 kavram kanıtı istismarı yayınlandı.
Her ne kadar PoC istismarı, saldırganların hedeflenen sistemlerde uzaktan kod yürütmesine izin vermese de, tehdit aktörleri zinciri RCE saldırıları için CVE-2023-24955 istismar yetenekleriyle tamamlayacak şekilde değiştirebilir.
Bu zinciri hedef alan çok sayıda PoC istismarı o zamandan bu yana çevrimiçi olarak ortaya çıktı (Star Labs tarafından yayınlanan bir tanesi dahil), bu da daha az yetenekli saldırganların bunu saldırılarında kullanmasını kolaylaştırdı.
Bir ay sonra CISA, CVE-2023-29357 kusurunu Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi ve ABD federal kurumlarına ay sonuna kadar, yani 31 Ocak'ta yama yapmalarını emretti.
Salı günü siber güvenlik kurumu, aktif olarak yararlanılan güvenlik kusurları listesine CVE-2023-24955 kod yerleştirme güvenlik açığını da ekledi. BOD 22-01 bağlayıcı operasyonel direktifinin zorunlu kıldığı üzere, federal kurumların 16 Nisan'a kadar Sharepoint sunucularının güvenliğini sağlaması gerekiyor.
CISA, iki Sharepoint güvenlik açığından yararlanan saldırılarla ilgili herhangi bir ayrıntı paylaşmazken, siber güvenlik kurumu bunların fidye yazılımı saldırılarında kullanıldığına dair hiçbir kanıt bulunmadığını söyledi.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor.” dedi.
CISA'nın KEV kataloğu, federal kurumları mümkün olan en kısa sürede ele alınması gereken güvenlik açıkları konusunda uyarmaya odaklanırken, özel kuruluşlara da saldırıları engellemek için bu istismar zincirini yamalamaya öncelik vermeleri tavsiye ediliyor.