CISA, vahşi ortamda kötüye kullanılan hatalar listesine CVE-2022-26138 olarak izlenen kritik bir Confluence güvenlik açığı ekledi; bu güvenlik açığı, başarılı bir sömürünün ardından uzaktaki saldırganlara sabit kodlanmış kimlik bilgileri sağlayabilen bir kusur.
Avustralyalı yazılım firması Atlassian’ın geçen hafta açıkladığı gibi, Questions for Confluence uygulamasının (8.000’den fazla sunucuya yüklenmiş) yamasız sürümleri bir sabit kodlanmış kimlik bilgilerine sahip hesap.
Güvenlik açığını düzelttikten bir gün sonra şirket, sabit kodlanmış parolanın bulunup çevrimiçi olarak paylaşıldığını görerek yöneticileri sunucularını derhal düzeltmeleri konusunda bilgilendirdi.
Atlassian, tehdit aktörlerinin sabit kodlanmış kimlik bilgilerini savunmasız Confluence Sunucusu ve Veri Merkezi sunucularında oturum açmak için kullanabileceğini söyleyerek, “Bu sorun, sabit kodlanmış parolanın herkes tarafından bilindiği için vahşi ortamda istismar edilecek” diye uyardı.
Bugün CISA, aktif istismarın kanıtlarına dayanarak CVE-2022-26138’i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Siber güvenlik firması Rapid7 de Çarşamba günü bir rapor yayınladı ve güvenlik açığından şu anda aktif olarak yararlanıldığını uyardı, ancak bunları araştırırken toplanan saldırılar veya uzlaşma göstergeleri hakkında herhangi bir bilgi paylaşmadı.
Federal kurumlara sunucuların güvenliğini sağlamaları için üç hafta süre verildi
Kasım ayında yayınlanan bağlayıcı bir operasyonel direktifte (BOD 22-01) belirtildiği gibi, tüm Federal Sivil İdari Şube Ajansları (FCEB) kurumları, sistemlerini CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklenen hatalara karşı güvenceye almak zorundadır.
Siber güvenlik ajansı ayrıca federal kurumlara sunucuları düzeltmeleri ve ağlarını hedef alan saldırıları engellemeleri için (19 Ağustos’a kadar) üç hafta süre verdi.
BOD 22-01 direktifi yalnızca ABD federal kurumları için geçerli olsa da, CISA ayrıca ülke çapındaki kuruluşları savunmasız Confluence sunucularına yönelik saldırıları engellemek için bu kusuru düzeltmeye “güçlü bir şekilde teşvik ediyor”.
ABD siber güvenlik ajansı Cuma günü yaptığı açıklamada, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık görülen bir saldırı vektörü ve federal kuruluş için önemli risk oluşturuyor.”
Bu direktif yayınlandığından beri CISA, saldırılarda kullanılan hata kataloğuna yüzlerce güvenlik hatası ekledi ve federal kurumlara ihlalleri önlemek için savunmasız sistemlere mümkün olan en kısa sürede yama yapmalarını emretti.
AvosLocker ve Cerber2021 fidye yazılımları, Linux botnet kötü amaçlı yazılımları ve kripto madencileriyle yapılan önceki saldırılarda gösterildiği gibi, Confluence sunucularının güvenliğini sağlamak özellikle çekici hedefler oldukları için önemlidir.