ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismara ilişkin kanıtlara atıfta bulunarak Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı ekledi.
Güvenlik açıklarının listesi aşağıdadır –
- CVE-2022-35914 (CVSS puanı: 9,8) – Teclib GLPI Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2022-33891 (CVSS puanı: 8.8) – Apache Spark Komut Enjeksiyon Güvenlik Açığı
- CVE-2022-28810 (CVSS puanı: 6,8) – Zoho ManageEngine ADSelfService Plus Uzaktan Kod Yürütme Güvenlik Açığı
Üçü arasında en kritik olanı, açık kaynaklı bir varlık ve BT yönetimi yazılım paketi olan Teclib GLPI’de bulunan üçüncü taraf kitaplık htmlawed’deki bir uzaktan kod yürütme güvenlik açığıyla ilgili olan CVE-2022-35914’tür.
Saldırıların doğasını çevreleyen kesin ayrıntılar bilinmiyor, ancak Ekim 2022’de Shadowserver Vakfı kayıt edilmiş bal küplerine karşı sömürü girişimlerine tanık olduğunu.
VulnCheck güvenlik araştırmacısı Jacob Baines, Aralık 2022’de, o zamandan beri GitHub’da cURL tabanlı tek satırlık bir kavram kanıtı (PoC) kullanıma sunuldu ve “toplu” bir tarayıcının satışa sunulduğunu söyledi.
Ayrıca GreyNoise tarafından toplanan veriler, açığı kötüye kullanmaya çalışan ABD, Hollanda, Hong Kong, Avustralya ve Bulgaristan’dan 40 kötü niyetli IP adresini ortaya çıkardı.
İkinci kusur, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek amacıyla hassas cihazları birlikte seçmek için Zerobot botnet tarafından istismar edilen Apache Spark’daki kimliği doğrulanmamış bir komut enjeksiyon güvenlik açığıdır.
Son olarak, Nisan 2022’de yamalanan Zoho ManageEngine ADSelfService Plus’ta bir uzaktan kod yürütme kusuru da KEV kataloğuna eklenmiştir.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
KOLTUĞUNUZU AYIRTIN
CISA, “Birden çok Zoho ManageEngine ADSelfService Plus, bir parola değişikliği veya sıfırlama gerçekleştirirken uzaktan kod yürütülmesine izin veren, belirtilmemiş bir güvenlik açığı içeriyor” dedi.
Bu hatayı keşfeden siber güvenlik şirketi Rapid7, tehdit aktörlerinin “temel sistemde kalıcılık kazanmak ve çevreye daha fazla dönmeye çalışmak için keyfi işletim sistemi komutlarını yürütmeye” yönelik aktif istismar girişimlerini tespit ettiğini söyledi.
Geliştirme, API güvenlik firması Wallarm’ın Aralık 2022’den bu yana iki VMware NSX Manager kusurunda (CVE-2021-39144 ve CVE-2022-31678) devam eden ve kötü amaçlı kod yürütmek ve hassas verileri sifonlamak için kullanılabilecek istismar girişimleri bulduğunu söylemesiyle geldi.