ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda kötüye kullanıldığı bilinen hatalar listesine sıfır gün olarak saldırılarda yararlanılan dört güvenlik açığını ekledi.
Bunlardan ikisi Microsoft ürünlerini etkiler ve saldırganların uzaktan yürütme elde etmesine olanak tanır (CVE-2023-21823) ve ayrıcalıkları yükseltin (CVE-2023-23376) Ortak Günlük Dosyası Sistemi Sürücüsü ve grafik bileşenlerindeki kusurları kötüye kullanarak yama uygulanmamış Windows sistemlerinde.
Üçüncüsü (CVE-2023-21715), güvenilmeyen dosyalar aracılığıyla kötü amaçlı yükler göndermek üzere Microsoft Office makro ilkelerini atlamak için kullanılabilir.
Microsoft, Şubat 2022 Salı Yaması’nın bir parçası olarak bu haftanın başlarında üçünü de yamaladı ve bunları bir düzeltme mevcut olmadan önce saldırılarda kötüye kullanılan sıfır gün olarak sınıflandırdı.
Dördüncüsü, gelişigüzel kod yürütülmesine yol açabilecek WebKit tipi bir karışıklık sorunu (CVE-2023-23529), Pazartesi günü Apple tarafından ele alındı ve vahşi ortamda aktif olarak istismar edildiği şeklinde etiketlendi.
Bu WebKit sıfır gününden etkilenen aygıtların listesi oldukça kapsamlıdır ve iPhone 8 ve sonrası, macOS Ventura çalıştıran Mac’ler, tüm iPad Pro modelleri ve daha fazlası dahil olmak üzere eski ve yeni modelleri etkiler.
Federal kurumların yama için üç haftası var
Kasım 2021 tarihli bağlayıcı operasyonel yönergeye (BOD 22-01) göre, tüm Federal Sivil Yürütme Şube Ajansları (FCEB) kurumlarının, CISA’nın Bilinen Yararlanılan Güvenlik Açıkları kataloğuna eklenen güvenlik açıklarına karşı sistemlerini güvence altına almaları gerekmektedir.
CISA şimdi ABD federal kurumlarına, Apple ve Microsoft’un dört güvenlik açığını düzeltmeleri ve ağlarını hedef alabilecek saldırıları engellemeleri için 7 Mart’a kadar üç hafta süre verdi.
Yönerge yalnızca ABD federal kurumları için geçerli olsa da, siber güvenlik ajansı, tüm kuruluşları Windows veya iOS cihazlarını tehlikeye atmaya yönelik herhangi bir saldırı girişimini engellemek için güvenlik hatalarını düzeltmeye şiddetle teşvik ediyor.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
BOD 22-01 direktifinin yayınlanmasından bu yana, CISA, vahşi ortamda istismar edildiği bilinen yüzlerce yeni güvenlik açığını böcek listesine dahil etti ve federal kurumlara ihlalleri önlemek için sistemlerini yamalama emri verdi.
Bugün CISA, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için kötüye kullandığı Cacti ağ operasyonları çerçevesine başka bir kusur daha ekledi: kritik bir ön kimlik doğrulama komut enjeksiyon hatası (CVE-2022-46169).