ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda aktif istismarın kanıtlarını öne sürerek, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Zyxel, North Grid Proself, ProjectSend ve CyberPanel ürünlerini etkileyen çok sayıda güvenlik kusurunu ekledi.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-51378 (CVSS puanı: 10.0) – Kimlik doğrulamanın atlanmasına ve statusfile özelliğindeki kabuk metakarakterlerini kullanarak rastgele komutların yürütülmesine izin veren hatalı bir varsayılan izin güvenlik açığı
- CVE-2023-45727 (CVSS puanı: 7,5) – Uzaktaki, kimliği doğrulanmamış bir saldırganın XXE saldırısı gerçekleştirmesine olanak verebilecek XML Harici Varlık (XXE) referans güvenlik açığının uygunsuz şekilde kısıtlanması
- CVE-2024-11680 (CVSS puanı: 9,8) – Uzaktaki, kimliği doğrulanmamış bir saldırganın hesap oluşturmasına, web kabukları yüklemesine ve kötü amaçlı JavaScript yerleştirmesine olanak tanıyan uygunsuz bir kimlik doğrulama güvenlik açığı
- CVE-2024-11667 (CVSS puanı: 7,5) – Web yönetimi arayüzünde, bir saldırganın hazırlanmış bir URL aracılığıyla dosya indirmesine veya yüklemesine izin verebilecek bir yol geçiş güvenlik açığı
CVE-2023-45727’nin KEV kataloğuna dahil edilmesi, 19 Kasım 2024’te yayınlanan ve aktif istismarını Earth Kasha (diğer adıyla MirrorFace) adlı Çin bağlantılı bir siber casusluk grubuyla ilişkilendiren Trend Micro raporunun ardından geldi.
Daha sonra geçen hafta, siber güvenlik sağlayıcısı VulnCheck, kötü niyetli aktörlerin, kullanım sonrası yükleri düşürmek için Eylül 2024 gibi erken bir tarihte CVE-2024-11680’i silah haline getirmeye çalıştıklarını ortaya çıkardı.
Censys ve Sekoia’ya göre CVE-2024-51378 ve CVE-2024-11667’nin kötüye kullanılması PSAUX ve Helldown gibi çeşitli fidye yazılımı kampanyalarına bağlanıyor.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarının güvenliğini sağlamak için belirlenen güvenlik açıklarını 25 Aralık 2024’e kadar düzeltmeleri öneriliyor.
Saldırı Altındaki IO DATA yönlendiricilerinde Çoklu Hatalar
Bu gelişme, JPCERT/CC’nin, IO DATA yönlendiricileri UD-LT1 ve UD-LT1/EX’deki üç güvenlik açığının bilinmeyen tehdit aktörleri tarafından kullanıldığı konusunda uyarmasının ardından geldi.
- CVE-2024-45841 (CVSS puanı: 6,5) – Konuk hesabı erişimi olan bir saldırganın, kimlik bilgilerini içerenler de dahil olmak üzere hassas dosyaları okumasına olanak tanıyan, kritik kaynak güvenlik açığı için yanlış izin ataması
- CVE-2024-47133 (CVSS puanı: 7,2) – Yönetici hesabıyla oturum açmış bir kullanıcının rastgele komutlar yürütmesine olanak tanıyan bir işletim sistemi (OS) komut ekleme güvenlik açığı
- CVE-2024-52564 (CVSS puanı: 7,5) – Uzaktaki bir saldırganın güvenlik duvarı işlevini devre dışı bırakmasına ve rastgele işletim sistemi komutları yürütmesine veya yönlendirici yapılandırmasını değiştirmesine olanak tanıyan belgelenmemiş özellikler güvenlik açığının dahil edilmesi
CVE-2024-52564 yamaları donanım yazılımı Ver2.1.9 ile kullanıma sunulmuş olsa da kalan iki eksikliğe yönelik düzeltmelerin 18 Aralık 2024’e (Ver2.2.0) kadar yayınlanması beklenmiyor.
Bu arada Japon şirket, müşterilere uzaktan yönetimi devre dışı bırakarak, varsayılan konuk kullanıcı şifrelerini değiştirerek ve yönetici şifrelerinin tahmin edilmesinin kolay olmamasını sağlayarak ayarlar ekranının internete maruz kalmasını sınırlamalarını tavsiye ediyor.