ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Juniper Junos OS’de Ağustos ayında ortaya çıkan bir dizi güvenlik kusuruna karşı güvenlik sağlamak amacıyla federal kurum ve kuruluşlara azaltım uygulamaları için 17 Kasım 2023’e kadar son tarih verdi.
Ajans Pazartesi günü, Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna aktif istismar kanıtlarına dayanarak beş güvenlik açığı ekledi:
- CVE-2023-36844 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisi PHP’de Harici Değişken Değişikliği Güvenlik Açığı
- CVE-2023-36845 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisi ve SRX Serisi PHP’de Harici Değişken Modifikasyonu Güvenlik Açığı
- CVE-2023-36846 (CVSS puanı: 5,3) – Juniper Junos OS SRX Serisinde Kritik İşlev Güvenlik Açığı Açısından Kimlik Doğrulaması Eksik
- CVE-2023-36847 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisinde Kritik İşlev Güvenlik Açığı Açısından Eksik Kimlik Doğrulaması
- CVE-2023-36851 (CVSS puanı: 5,3) – Juniper Junos OS SRX Serisinde Kritik İşlev Güvenlik Açığı Açısından Kimlik Doğrulaması Eksik
Juniper’a göre güvenlik açıkları, yama uygulanmamış cihazlarda uzaktan kod yürütülmesini sağlamak için bir yararlanma zincirine dönüştürülebilir. Listeye ayrıca SRX yükleme kusurunun bir çeşidi olarak tanımlanan CVE-2023-36851 de eklendi.
Juniper, tavsiye belgesinde 8 Kasım 2023’te yaptığı bir güncellemede, “artık bu güvenlik açıklarından başarıyla yararlanıldığının farkında olduğunu” belirterek, müşterilerin anında etkili olacak şekilde en son sürümlere güncelleme yapmalarını önerdi.
Sömürün doğasını çevreleyen ayrıntılar şu anda bilinmiyor.
Ayrı bir uyarıda CISA, Royal fidye yazılımı çetesinin, BlackSuit’in “Royal’e benzer bir takım tanımlanmış kodlama özelliklerini” paylaşması nedeniyle markasını BlackSuit olarak değiştirebileceği konusunda da uyardı.
Gelişme, Cyfirma’nın kritik güvenlik açıklarına yönelik istismarların darknet forumlarında ve Telegram kanallarında satışa sunulduğunu açıklamasının ardından geldi.
Siber güvenlik firması, “Bu güvenlik açıkları, ayrıcalığın yükseltilmesini, kimlik doğrulama bypass’ını, SQL enjeksiyonunu ve uzaktan kod yürütmeyi kapsamakta olup, önemli güvenlik riskleri oluşturmaktadır” dedi ve şunu ekledi: “Fidye yazılımı grupları, büyük bir güvenlik açığını tehlikeye atmak için yer altı forumlarında aktif olarak sıfır gün güvenlik açıklarını arıyor. Kurbanların sayısı.”
Bu aynı zamanda Huntress’in, tehdit aktörlerinin ilk erişim için bir eczane yönetim yazılımı sağlayıcısı olan Transaction Data Systems tarafından kullanılan yaygın olarak kullanılan ScreenConnect uzaktan erişim aracını kötüye kullanarak birden fazla sağlık kuruluşunu hedef aldığı yönündeki açıklamalarının ardından geldi.
Huntress, “Tehdit aktörü, ortamlara kalıcı erişim sağlamak için ScreenConnect veya AnyDesk örnekleri gibi ek uzaktan erişim araçlarının kurulması da dahil olmak üzere çeşitli adımlar attı.” dedi.