ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif istismara dair kanıtlara dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna iki güvenlik açığı ekledi.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2012-4792 (CVSS puanı: 9.3) – Microsoft Internet Explorer Kullanım Sonrası Serbest Bırakma Güvenlik Açığı
- CVE-2024-39891 (CVSS puanı: 5.3) – Twilio Authy Bilgi Açıklama Güvenlik Açığı
CVE-2012-4792, Internet Explorer’da on yıldır var olan, özel olarak hazırlanmış bir site aracılığıyla uzaktaki bir saldırganın keyfi kod çalıştırmasına olanak tanıyan bir güvenlik açığıdır.
Bu açığın tekrar istismar edilip edilmediği henüz belli değil, ancak Aralık 2012’de Dış İlişkiler Konseyi (CFR) ve Capstone Turbine Corporation web sitelerini hedef alan watering hole saldırılarının bir parçası olarak kötüye kullanıldığı biliniyor.
Öte yandan CVE-2024-39891, kimliği doğrulanmamış bir uç noktadaki, “bir telefon numarası içeren bir isteği kabul etmek ve telefon numarasının Authy’de kayıtlı olup olmadığına ilişkin bilgiyle yanıt vermek” için istismar edilebilecek bir bilgi ifşa hatasına atıfta bulunmaktadır.
Twilio, bu ayın başlarında, kimliği belirsiz tehdit aktörlerinin Authy hesaplarıyla ilişkili verileri tespit etmek için bu eksiklikten yararlanmasının ardından sorunun 25.1.0 (Android) ve 26.1.0 (iOS) sürümlerinde çözüldüğünü duyurdu.
CISA, yayınladığı bir duyuruda, “Bu tür güvenlik açıkları kötü niyetli siber aktörler için sık görülen saldırı vektörleridir ve federal işletmeler için önemli riskler oluştururlar” dedi.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 13 Ağustos 2024 tarihine kadar tespit edilen güvenlik açıklarını gidermeleri gerekiyor.