Cyble araştırmacıları yoğun bir hafta geçirdi; 1 Ekim’de sona eren haftada 19 güvenlik açığını araştırdı ve bunlardan sekizini yüksek öncelikli olarak işaretledi.
Cyble’ın haftalık BT güvenlik açığı raporunda ayrıca araştırmacıların, karanlık web ve siber suç forumlarında tartışılan 10 açıktan yararlanma gözlemlediği belirtildi; bunlara 8 milyon açığa çıkan ve Apple ve Android’de sıfır gün olduğu iddia edilen bir OpenSSH güvenlik açığı da dahil.
SolarWinds, Microsoft, Zimbra, WordPress ve Fortinet’teki güvenlik açıkları da yer altı forumlarında tehdit aktörleri tarafından tartışıldı.
Optigo, NVIDIA, Adobe ve Linux CUPS En Önemli Önceliklerdir
Cyble Research & Intelligence Labs’ın (CRIL) raporu, güvenlik ekiplerinin önceliklendirmesi için dört üründeki sekiz güvenlik açığını işaretledi:
CVE-2024-41925 ve CVE-2024-45367: ONS-S8 Spectra Toplama Anahtarı
ONS-S8 Spectra Toplama Anahtarı, Optigo Networks’ün akıllı binalarda pasif optik ağı (PON) dağıtmak için kullanılan bir ağ yönetim cihazıdır. PHP Uzaktan Dosya Ekleme (RFI) ve zayıf kimlik doğrulama güvenlik açıkları da, saldırı karmaşıklığının düşük olması ve ürünün kritik altyapıda kullanılması nedeniyle CISA’nın tavsiyesine konu oldu.
CVE-2024-0132: NVIDIA Container Araç Seti
NVIDIA Container Toolkit’teki bu yüksek önemdeki Kontrol Zamanı Kullanım Zamanı (TOCTOU) güvenlik açığı, konteynerden kaçış saldırıları için kullanılabilir ve ana bilgisayar sistemine tam erişim elde etmek için kullanılabilir; bu da kod yürütülmesine, hizmet reddine, üst kademeye iletilmesine yol açabilir ayrıcalıklar, bilgilerin ifşa edilmesi ve veri tahrifatı.
CVE-2024-34102: Adobe Ticaret
Adobe Commerce/Magento’daki bu 9.8 önem derecesine sahip XML Harici Varlık Referansının Uygunsuz Kısıtlanması (‘XXE’) güvenlik açığı, harici varlıklara referans veren hazırlanmış bir XML belgesi gönderilerek keyfi kod yürütülmesine yol açarak kötüye kullanılabilir. Araştırmacılar, birden fazla Adobe Commerce ve Magento mağazasının bu güvenlik açığını kullanan tehdit aktörleri tarafından ele geçirildiğini gözlemledi ve bu durum siber suç forumlarında da tartışılıyor.
CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177: CUPS Güvenlik Açıkları
Yakın zamanda açıklanan bu güvenlik açıkları – CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (bardaklara göz atıldı) ve CVE-2024-47177 (bardak filtreleri) – CUPS’u (Ortak UNIX) etkiler Yazdırma Sistemi), Unix benzeri işletim sistemleri için tasarlanmış modüler bir yazdırma sistemidir. Saldırganlar, belirli koşullar altında, uzaktan rastgele kod yürütmek için CUPS açık kaynaklı yazdırma sisteminin birden fazla bileşenindeki güvenlik açıklarını zincirleyebilir.
Cyble’ın Dikkatine Koyu Web İstismarları
Cyble araştırmacıları, Telegram kanallarında ve siber suç forumlarında tartışılan 10 veya daha fazla güvenlik açığı ve istismarı gözlemledi; bu da güvenlik ekiplerinin bu konulara daha yüksek öncelik vermesi gerektiğini öne sürdü.
CVE-2024-28987: SolarWinds Web Yardım Masası (WHD) yazılımında sabit kodlanmış geliştirici oturum açma kimlik bilgileri tarafından oluşturulan kritik bir güvenlik açığı.
CVE-2024-38200: Microsoft Office’te, belirli belge özelliklerinin hatalı işlenmesi sonucu oluşan, NTLM karmalarının ve diğer hassas bilgilerin açığa çıkmasına neden olabilecek kritik bir güvenlik açığı.
CVE-2023-32413: Çeşitli Apple işletim sistemlerindeki bu güvenlik açığı, birden çok işlemin paylaşılan kaynakları aynı anda kullanması durumunda hatalı senkronizasyondan kaynaklanır ve bu da beklenmeyen sistem davranışına yol açabilir.
CVE-2024-43917: Bu kritik SQL Enjeksiyon güvenlik açığı, WordPress için TI WooCommerce İstek Listesi eklentisini 2.8.2’ye kadar olan sürümlerde etkiler.
CVE-2024-45519: Yaygın olarak kullanılan bir e-posta ve işbirliği platformu olan Zimbra Collaboration Suite’in günlük sonrası hizmetinde kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı tespit edildi. Cyble araştırmacıları ayrıca Zimbra güvenlik açığı hakkında ayrı bir rapor yayınladılar ve CISA bunu ajansın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi.
CVE-2024-8275: WordPress için Etkinlik Takvimi Eklentisi’nde, 6.6.4’e kadar olan tüm sürümleri etkileyen kritik bir SQL enjeksiyon güvenlik açığı.
CVE-2024-6387: Bir tehdit aktörü, OpenSSH güvenli ağ oluşturma hizmet programlarındaki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı olan RegreSSHion olarak da bilinen bu güvenlik açığından etkilenebilecek IP adreslerinin bir listesini sundu. Cyble’ın Odin güvenlik açığı arama hizmeti, bu güvenlik açığına maruz kalan web’e bakan 8 milyondan fazla ana bilgisayarı gösteriyor.
CVE-2024-34102: Bir tehdit aktörü, Adobe Commerce ve Magento’yu, özellikle de 2.4.6 ve önceki sürümleri etkileyen kritik bir güvenlik açığını satmayı teklif etti.
FortiClient: BreachForums’taki bir tehdit aktörü, Fortinet’in FortiClient EMS 7.4/7.3’ünde bulunan ve SQL Enjeksiyonu ve Uzaktan Kod Yürütülmesiyle sonuçlanan güvenlik açıklarına yönelik istismarların reklamını yaptı. Aktör bu istismarları 30.000 dolara satıyor.
Apple ve Android Sıfır Günü: BreachForums’taki bir tehdit aktörü, Apple’ın iMessage’ında ve Android’in kısa mesajlarında bulunan ve Uzaktan Kod Yürütme (RCE) ile sonuçlandığını iddia ettiği 0 günlük bir istismarın reklamını yapıyor. TA, istismar için ikili dosyayı 800.000 dolara satıyor.