CISA, ABD’deki hackerlardaki federal ajansları, sunucuda uzaktan kodun yürütülmesine yol açabilecek yakın zamanda yamalı bir ekran bağlantısı kırılganlığından yararlanıyor.
Ajans, ASUS yönlendiricilerini ve Craft İçerik Yönetim Sistemini (CMS) etkileyen diğer dört güvenlik sorununun da aktif olarak kullanıldığını uyarıyor.
ConnectWise Screenconnect’te uygunsuz kimlik doğrulama
24 Nisan’da ConnectWise, CVE-2025-3935 olarak izlenen güvenlik sorununu ele aldı ve güvenlik açığının bir ViewState kodu enjeksiyon saldırısı için kullanılabileceğini belirtti.
Satıcı, ASP.NET web formlarının, makine tuşları tarafından korunan Base64 kodlu verileri kullanarak sayfayı ve kontrol durumunu korumak için ViewState bileşenine dayandığını belirtir.
Ayrıcalıklı erişime sahip bir saldırgan makine anahtarlarını tehlikeye atarsa, kötü amaçlı yükler aracılığıyla sunucudaki uzaktan kod yürütmeyi tetikleyebilirler.
Devlet destekli bir operasyon olduğundan şüphelenilen son ConnectWise ihlalinin ardından, bazı müşteriler olayın CVE-2025-3935 ile bağlantılı olabileceğini söyledi.
Ancak, ConnectWise saldırı yöntemi veya uzlaşmanın doğası hakkında yorum yapmamıştır. Birden fazla rapor, ConnectWise’ın “çok az sayıda Screenconnect müşterisini” etkilediğini belirtir.
Asus ve Craft CMS’de kritik hatalar
Bu hafta bir uyarıda CISA, Asus yönlendiricileri ve zanaat CMS’de ikisi kritik olan dört güvenlik açıkından yararlanan tehdit aktörleri de uyarıyor:
- CVE-2021-32030 (9.8 Kritik Şiddet Skoru): ASUS GT-AC2900 ve LYRA Mini Cihazlarında Kimlik Doğrulama Bypass’a izin verir
- CVE-2023-39780 (8.8 Yüksek Teslim Puanı): ASUS RT-AX55’te OS enjeksiyonu, Kimlik Doğrulama Gerekli
- CVE-2024-56145 (9.3 Kritik Şiddet Skoru): Craft CMS’de kod enjeksiyonu, belirli koşullar altında uzaktan kod yürütülmesine yol açabilecek
- CVE-2025-35939 (6.9 Orta Şiddet Skoru): Kimlik doğrulanmamış bir istemci, Craft CMS sunucusundaki bilinen dosya konumlarına PHP kodu tanıtabilir
ASUS RT-AX55 cihazlarını etkileyen kusur, son aylarda “iyi kaynaklanmış ve son derece yetenekli bir düşman” gibi görünen gizli saldırılarda sömürüldü.
Geçen hafta bir raporda, siber güvenlik platformu Geynoise, bilgisayar korsanlarının CVE-2023-39780 güvenlik açığını, Ayysshush adlı bir botnet oluşturmak üzere atanmamış bir CVE’si olmayan kimlik doğrulama baypas teknikleriyle zincirlediğini söylüyor.
CISA, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna beş güvenlik sorununu ekledi ve federal ajansların satıcının önerdiği hafifletmeleri uygulamasını veya etkilenen ürünleri 23 Haziran’a kadar kullanmayı bırakmasını veya etkilenen ürünleri 23 Haziran’a kadar kullanmayı bırakmasını bekliyor.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.