ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü, aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı yerleştirdi.
Eklenen güvenlik açıkları aşağıdaki gibidir:
- CVE-2023-48788 (CVSS puanı: 9,3) – Fortinet FortiClient EMS SQL Enjeksiyon Güvenlik Açığı
- CVE-2021-44529 (CVSS puanı: 9,8) – Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) Kod Ekleme Güvenlik Açığı
- CVE-2019-7256 (CVSS puanı: 10,0) – Nice Linear eMerge E3-Serisi İşletim Sistemi Komut Ekleme Güvenlik Açığı
Fortinet FortiClient EMS'yi etkileyen eksiklik bu ayın başlarında gün yüzüne çıktı ve şirket bunu, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine olanak tanıyan bir kusur olarak tanımladı.
Fortinet, saldırıların niteliğine ilişkin başka ayrıntı şu anda mevcut olmasa da, vahşi ortamda istismar edildiğini doğrulamak için tavsiyelerini revize etti.
Öte yandan CVE-2021-44529, Ivanti Endpoint Manager Cloud Service Appliance'da (EPM CSA) kimliği doğrulanmamış bir kullanıcının sınırlı izinlerle kötü amaçlı kod yürütmesine olanak tanıyan bir kod yerleştirme güvenlik açığıyla ilgilidir.
Güvenlik araştırmacısı Ron Bowes tarafından yayınlanan son araştırma, kusurun, en azından 2014'ten beri var olan csrf-magic adı verilen ve şu anda durdurulan bir açık kaynaklı projede kasıtlı bir arka kapı olarak tanıtılmış olabileceğini gösteriyor.
Bir saldırganın Nice Linear eMerge E3-Serisi erişim denetleyicilerinde uzaktan kod yürütmesine izin veren CVE-2019-7256, Şubat 2020 gibi erken bir tarihte tehdit aktörleri tarafından istismar edildi.
Bu kusur, diğer 11 hatayla birlikte bu ayın başlarında Nice (eski adıyla Nortek) tarafından giderildi. Bununla birlikte, bu güvenlik açıkları ilk olarak güvenlik araştırmacısı Gjoko Krstic tarafından Mayıs 2019'da ortaya çıkarıldı.
Üç kusurun aktif olarak kullanıldığı göz önüne alındığında, federal kurumların satıcı tarafından sağlanan hafifletici önlemleri 15 Nisan 2024'e kadar uygulaması gerekiyor.
Bu gelişme, CISA ve Federal Soruşturma Bürosu'nun (FBI), yazılım üreticilerini SQL enjeksiyon kusurlarını azaltmak için adımlar atmaya çağıran ortak bir uyarı yayınlamasının ardından geldi.
Uyarı belgesinde, Progress Software'in MOVEit Transferindeki kritik bir SQL enjeksiyon güvenlik açığı olan CVE-2023-34362'nin Cl0p fidye yazılımı çetesi (diğer adıyla Lace Tempest) tarafından binlerce kuruluşa sızmak amacıyla kullanıldığı özellikle vurgulandı.
Ajanslar, “Son yirmi yılda SQLi açıklarına ilişkin yaygın bilgi ve belgelemenin yanı sıra etkili hafifletme yöntemlerinin bulunmasına rağmen, yazılım üreticileri bu kusura sahip ürünler geliştirmeye devam ediyor ve bu da birçok müşteriyi riske atıyor” dedi.