ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Bilinen Suistimal Edilen Güvenlik Açıkları kataloğuna Apple, Adobe, Apache, D-Link ve Joomla ürünlerini etkileyen altı güvenlik açığını ekledi.
Bilinen İstismar Edilen Güvenlik Açıkları kataloğu veya kısaca KEV, doğada aktif olarak istismar edilen güvenlik sorunlarını içerir. Güvenlik açığı yönetimi ve önceliklendirme sürecinde dünya çapındaki kuruluşlar için değerli bir kaynaktır.
“Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor.” CISA’nın duyurusunu okur.
CISA, federal kurumlara aktif olarak istismar edilen altı kusuru düzeltmeleri veya savunmasız ürünleri kullanmayı bırakmaları için 29 Ocak’a kadar süre verdi.
Bu sefer vurgulanan altı güvenlik açığı şunlardır:
- CVE-2023-27524 – Kaynağın varsayılan olarak güvenli olmayan şekilde başlatılması, 2.0.1’e kadar Apache Superset sürümlerini etkiliyor. Güvenlik açığı, varsayılan olarak yapılandırılmış SECRET_KEY değiştirilmediğinde ortaya çıkar ve saldırganın kimlik doğrulaması yapmasına ve yetkisiz kaynaklara erişmesine olanak tanır. (8,9 “yüksek şiddet” puanı)
- CVE-2023-23752 – Joomla!’da hatalı erişim kontrolü 4.0.0’dan 4.2.7’ye kadar olan sürümler, web hizmeti uç noktalarına yetkisiz erişime izin verir. (5,3 “orta şiddet” puanı)
- CVE-2023-41990 – iMessage eki olarak gönderilen bir yazı tipi dosyasının işlenmesinde uzaktan kod yürütme hatası, iOS 16.2 ve daha eski sürümleri çalıştıran Apple iPhone cihazlarında rastgele kod yürütülmesine neden oluyor. (7,8 “yüksek şiddet” puanı)
- CVE-2023-38203 – Adobe ColdFusion 2018u17 ve öncesi, 2021u7 ve öncesi ve 2023u1 ve öncesi sürümlerinde güvenilmeyen verilerin seri durumdan çıkarılması, kullanıcı etkileşimi olmadan rastgele kod yürütülmesine yol açar. (9,8 “kritik şiddet” puanı)
- CVE-2023-29300 – Adobe ColdFusion 2018u16 ve öncesi, 2021u6 ve öncesi ve 2023.0.0.330468 ve öncesi sürümlerinde güvenilmeyen verilerin seri durumdan çıkarılması, kullanıcı etkileşimi olmadan rastgele kod yürütülmesine yol açar. (9,8 “kritik şiddet” puanı)
- CVE-2016-20017 – 1.05 öncesi D-Link DSL-2750B cihazlarında uzaktan kimlik doğrulamasız komut ekleme güvenlik açığı, 2016’dan 2022’ye kadar aktif olarak kullanıldı. (9,8 “kritik şiddet” puanı)
Listelenen kusurlardan bazıları, yakın zamanda açıklanan saldırılarda kullanıldı.
Örneğin, CVE-2023-41990, 2019’dan beri aktif olan ‘Üçgenleme Operasyonu’ kampanyasında kullanıldı ve Kaspersky tarafından ancak Haziran 2023’te bazı araştırmacı cihazlarına virüs bulaştığında keşfedildi.
Bu, bir tehdit aktörünün Avrupa da dahil olmak üzere dünya genelinde çeşitli hedeflere ait iPhone’lardaki güvenlik önlemlerini atlatmak için kullandığı dört güvenlik açığından sonuncusu.
CVE-2023-38203 ve CVE-2023-29300, güvenlik araştırmacılarının satıcının yamalarının atlanabileceğini göstermesinin ardından 2023 ortasından bu yana bilgisayar korsanları tarafından kullanıldı.
CVE-2023-27524 gibi diğerleri için, kavram kanıtlama (PoC) istismarları geçtiğimiz Eylül ayında yayımlandı ve kötü niyetli aktörler tarafından yaygın suiistimallerin zeminini hazırladı.
Kuruluşların ve federal kurumların, varlıklarını yukarıdaki kusurlara ve KEV kataloğunda listelenen diğer güvenlik açıklarına karşı kontrol etmeleri ve mevcut güvenlik güncellemelerini veya azaltma adımlarını gerektiği şekilde uygulamaları istenmektedir.