ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü, vahşi ortamda aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna iki güvenlik açığı ekledi.
Kusurların listesi aşağıdadır –
- CVE-2024-20767 (CVSS puanı: 7,4) – Adobe ColdFusion, bir saldırganın internete açık bir yönetici paneli aracılığıyla kısıtlanmış dosyalara erişmesine veya bunları değiştirmesine olanak verebilecek uygunsuz bir erişim kontrolü güvenlik açığı içerir (Adobe tarafından Mart 2024’te yamalı)
- CVE-2024-35250 (CVSS puanı: 7,8) – Microsoft Windows Çekirdek Modu Sürücüsü, yerel bir saldırganın ayrıcalıkları yükseltmesine olanak tanıyan güvenilmeyen bir işaretçi referansı güvenlik açığı içeriyor (Haziran 2024’te Microsoft tarafından yamalı)
CVE-2024-35250’yi keşfedip bildiren Tayvanlı siber güvenlik şirketi DEVCORE, Ağustos 2024’te ek teknik ayrıntıları paylaşarak bunun Microsoft Çekirdek Akış Hizmetinden (MSKSSRV) kaynaklandığını belirtti.
Her ne kadar her ikisi için de kavram kanıtı (PoC) açıkları kamuya açık olsa da, eksikliklerin gerçek dünyadaki saldırılarda nasıl silah haline getirildiğine dair şu anda hiçbir ayrıntı yok.
Aktif kötüye kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarının güvenliğini sağlamak için 6 Ocak 2025’e kadar gerekli düzeltmeleri uygulamaları tavsiye ediliyor.
FBI, HiatusRAT’ın Web Kameralarını ve DVR’leri Hedeflediği Konusunda Uyardı
Bu gelişme, Federal Soruşturma Bürosu’nun (FBI), ABD, Avustralya ve Kanada’da bulunan Hikvision, D-Link ve Dahua’dan Nesnelerin İnterneti (IoT) cihazlarını taramak için yönlendiriciler gibi ağ uç cihazlarının ötesine geçen HiatusRAT kampanyalarına ilişkin bir uyarısının ardından geldi. , Yeni Zelanda ve Birleşik Krallık.
“Oyuncular web kameralarını ve DVR’leri CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 gibi güvenlik açıklarına ve satıcı tarafından sağlanan zayıf şifrelere karşı taradılar.” FBI söyledi. “Bu güvenlik açıklarının çoğu henüz satıcılar tarafından giderilmedi.”
Mart 2024’te gözlemlenen kötü amaçlı etkinlik, tarama ve kaba kuvvetle kimlik doğrulama kırma için Ingram ve Medusa adlı açık kaynaklı yardımcı programların kullanımını içeriyordu.
DrayTek Yönlendiricileri Fidye Yazılımı Kampanyasında Suistimal Edildi
Uyarılar aynı zamanda, PRODAFT tarafından paylaşılan istihbarata sahip Forescout Vedere Labs’in geçen hafta, tehdit aktörlerinin Ağustos ve Eylül 2023 arasında koordineli bir fidye yazılımı kampanyasının parçası olarak 20.000’den fazla DrayTek Vigor cihazını hedef almak için DrayTek yönlendiricilerindeki güvenlik kusurlarından yararlandığını ortaya çıkarmasıyla da geldi.
Şirket, “Operasyonda şüpheli bir sıfır gün güvenlik açığından yararlanılarak saldırganların ağlara sızmasına, kimlik bilgileri çalmasına ve fidye yazılımı dağıtmasına olanak tanıdı” dedi ve kampanyanın “üç farklı tehdit aktörünü kapsadığını” ekledi: Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI) -288) ve LARVA-15 (Wazawaka) – yapılandırılmış ve verimli bir iş akışını takip eden kişiler.”
Monstrous Mantis’in güvenlik açığını belirleyip kullandığına ve kimlik bilgilerini sistematik olarak topladığı, daha sonra bunların kırıldığı ve Ruthless Mantis ve LARVA-15 gibi güvenilir ortaklarla paylaşıldığına inanılıyor.
Saldırılar sonuçta işbirlikçilerin yatay hareket ve ayrıcalık artışı da dahil olmak üzere sömürü sonrası faaliyetler yürütmesine olanak tanıdı ve sonuçta RagnarLocker, Nokoyawa, RansomHouse ve Qilin gibi farklı fidye yazılımı ailelerinin konuşlandırılmasına yol açtı.
Şirket, “Monstrous Mantis, ilk erişim aşaması üzerinde özel kontrolü elinde tutarak istismarın kendisini engelledi” dedi. “Bu hesaplanmış yapı, izinsiz girişlerinden başarılı bir şekilde para kazanan fidye yazılımı operatörlerinin gelirlerinin bir yüzdesini paylaşmak zorunda kalması nedeniyle dolaylı olarak kar elde etmelerine olanak sağladı.”
Acımasız Mantis’in, Monstrous Mantis’ten elde ettiği erişimi diğer tehdit aktörlerine satarak LARVA-15’in ilk erişim komisyoncusu (IAB) olarak hareket ettiği, çoğunlukla İngiltere ve Hollanda’da bulunan en az 337 kuruluşun güvenliğini başarıyla aştığı tahmin ediliyor.
CVE-2020-8515 ve CVE-2024-41592’ye benzer kök nedenleri paylaşan 22 yeni güvenlik açığının keşfedilmesiyle kanıtlandığı üzere, saldırıların DrayTek cihazlarında sıfır gün istismarından yararlandığından şüpheleniliyor.
Forescout, “Aynı kod tabanında bu tür güvenlik açıklarının tekrarlanması, kapsamlı kök neden analizi, değişken arama ve satıcı tarafından her güvenlik açığının açıklanmasının ardından sistematik kod incelemelerinin yapılmadığını gösteriyor.” dedi.