Black Hat ve DEF CON konferansları ve Salı Yama Günleri derken, güvenlik açıkları açısından oldukça yoğun bir hafta oldu.
Cyble araştırmacıları, 7-13 Ağustos tarihleri arasında abonelere yönelik hazırladıkları raporda 40 güvenlik açığını inceledi ve özellikle SAP, Ivanti, AMD, Microsoft, Cisco ve Progress Software’e ait ürünlerdeki 10 güvenlik açığına odaklandı.
Cyber Express, okuyucularına ortamlarını en çok riske atan en önemli güvenlik açıklarına odaklanarak saldırı yüzeylerini daha iyi yönetmelerine yardımcı olmak için yapay zeka destekli tehdit istihbaratı liderinin tescilli içgörülerinden bazılarını sunmak amacıyla her hafta Cyble ile ortaklık kuruyor.
SolarWinds’in Web Help Desk’teki 9.8 şiddetindeki Java deserialization RCE açığı için bir düzeltme yayınlamasından önce yayınlanan Cyble raporu, CISA’nın dün yaptığı açıklamaya göre saldırı altında olduğundan, bu konuda çalışmaya başlamak için gelecek haftanın raporunu beklemenize gerek yok. Hemen yama yapın.
Haftanın En Önemli Güvenlik Açıkları
İşte Cyble araştırmacılarının güvenlik ekiplerinin öncelikli olarak dikkat etmesi gereken 10 güvenlik açığı.
CVE-2024-41730: SAP BusinessObjects İş Zekası
Etki Analizi: Bu 9.8 önem derecesindeki kritik güvenlik açığı, SAP BusinessObjects Business Intelligence raporlama ve analitik araçları paketini iş zekası (BI) platformları için etkiler. Etkilenen platformda Kurumsal kimlik doğrulamasında Tek Oturum Açma etkinleştirilirse, yetkisiz bir kullanıcı bir REST uç noktasını kullanarak bir oturum açma belirteci alabilir. Saldırgan sistemi tamamen tehlikeye atabilir ve bu da gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek bir etkiyle sonuçlanabilir.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2024-7593: Ivanti Sanal Trafik Yöneticisi
Etki Analizi: Bu kritik güvenlik açığı (9.8 olarak derecelendirildi) web uygulamaları ve hizmetleri için akıllı trafik yönetimi, yük dengeleme ve uygulama hızlandırma sağlayan yazılım tabanlı bir uygulama dağıtım denetleyicisi (ADC) ve yük dengeleyici olan Ivanti Virtual Traffic Manager’ı (vTM) etkiliyor. Ivanti vTM’de 22.2R1 veya 22.7R2 dışındaki sürümlerde bir kimlik doğrulama algoritmasının yanlış uygulanması, uzaktan, kimliği doğrulanmamış bir saldırganın yönetici panelinin kimlik doğrulamasını atlamasına olanak tanır. Güvenlik açığının genel bir Kavram Kanıtı’nın (POC) kullanılabilir olmasıyla, tehdit aktörleri bunu istismar etmeye başlayabilir ve bu da onların sahte yönetici hesapları oluşturmalarına olanak tanır.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Şu anda iki yama ve önlemler mevcut, önümüzdeki hafta dört yama daha yayınlanacak.
CVE-2024-7569: ITSM için Ivanti Nöronları
Etki Analizi: Bu 9.6 önem derecesindeki kritik güvenlik açığı, BT hizmet yönetimi için kapsamlı bir yazılım platformu olan Ivanti Neurons for ITSM’yi (BT Hizmet Yönetimi) etkiler. Bilgi ifşası, kimliği doğrulanmamış bir saldırganın hata ayıklama bilgileri aracılığıyla OIDC istemci sırrını elde etmesine olanak tanır.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2023-31315: AMD ‘Sinkclose’ Güvenlik Açığı
Etki Analizi: Modele özgü bir kayıtta (MSR) “Sinkclose” olarak bilinen bu yüksek önem dereceli (7.5) uygunsuz doğrulama güvenlik açığı, halka 0 erişimi olan kötü amaçlı bir programın SMI kilidi etkinken SMM yapılandırmasını değiştirmesine izin verir ve bu da potansiyel olarak keyfi kod yürütülmesine yol açar. Yaygın olmasa da, çekirdek düzeyindeki güvenlik açıkları karmaşık saldırılarda kesinlikle nadir değildir. Halka 2, bir bilgisayardaki en yüksek ayrıcalık seviyelerinden biri olduğundan, Halka 1’in (hipervizörler ve CPU sanallaştırma için kullanılır) ve Halka 0’ın üzerinde çalıştığından, özellikle gelişmiş kalıcı tehdit (APT) aktörleri tarafından saldırılarda bu güvenlik açığından yararlanma olasılıkları vardır.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? AMD yama ve azaltma bilgilerini burada yayınladı.
CVE-2024-38200: Microsoft Office
Etki Analizi: Resmi olarak 6.5 orta şiddette bir güvenlik açığı olarak listelenmiş olsa da, bu Microsoft Office sahteciliği güvenlik açığı saldırganlar tarafından kullanıcıların NTLM karmalarını ele geçirmek için kullanılabilir. Güvenlik açığı uzaktan kullanılabilir ve tetiklenmesi için özel ayrıcalıklar veya kullanıcı etkileşimi gerektirmez. Saldırganlar bir kurbanın NTLM karmalarını ele geçirdikten sonra, bunu başka bir hizmete iletebilir ve kurban olarak kimlik doğrulaması yapabilir, bu da tehlikeye atılmış ağa daha fazla geçişe yol açar. Bu ayki Patch Tuesday’de dikkat çeken birçok Microsoft güvenlik açığından biri, bunlar arasında aktif olarak istismar edilen altı sıfır günlük güvenlik açığı ve 9.8 şiddette sıfır tıklamalı TCP/IP güvenlik açığı yer alıyor.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2024-20450, CVE-2024-20452 ve CVE-2024-20454: Cisco Küçük İşletme IP Telefonları
Etki Analizi: Bu 9.8 şiddetindeki kritik güvenlik açıkları, kimliği doğrulanmamış uzak bir saldırganın kök ayrıcalıklarına sahip temel işletim sisteminde keyfi komutlar yürütmesine izin verebilecek Cisco Small Business SPA300 Serisi IP Telefonları ve Cisco Small Business SPA500 Serisi IP Telefonlarının web tabanlı yönetim arayüzünü etkiler. Bu güvenlik açıkları, gelen HTTP paketlerinin hatalar açısından düzgün bir şekilde kontrol edilmemesi nedeniyle oluşur ve bu da bir arabellek taşmasına neden olabilir. Bir saldırgan, etkilenen bir cihaza hazırlanmış bir HTTP isteği göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın dahili bir arabelleği taşmasına ve kök ayrıcalık düzeyinde keyfi komutlar yürütmesine izin verebilir.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2024-20419: Cisco Akıllı Yazılım Yöneticisi Yerinde
Etki Analizi: Bu 10.0 önem derecesindeki kritik güvenlik açığı, kuruluşların Cisco ürün lisanslarını yerel olarak yönetmelerine yardımcı olmak için tasarlanmış bir lisanslama yönetim çözümü olan Cisco Smart Software Manager On-Prem’i (SSM On-Prem) etkiler. Etkilenen cihazın kimlik doğrulama sistemindeki kusur, kimliği doğrulanmamış uzak bir saldırganın yönetici kullanıcılar da dahil olmak üzere herhangi bir kullanıcının parolasını değiştirmesine izin verebilir. Bu güvenlik açığı, parola değiştirme sürecinin uygunsuz uygulanmasından kaynaklanmaktadır. Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, bir saldırganın tehlikeye atılmış kullanıcının ayrıcalıklarıyla web kullanıcı arayüzüne veya API’ye erişmesine izin verebilir.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2024-4885: İlerleme WhatsUp Altın
Etki Analizi: Bu 9.8 şiddetindeki kritik güvenlik açığı, uygulamalar, ağ cihazları ve sunucular dahil olmak üzere BT altyapısının performansına ve durumuna kapsamlı görünürlük sağlamak için tasarlanmış bir ağ izleme yazılımı olan Progress WhatsUp Gold’u etkiliyor. Kimliği doğrulanmamış Uzaktan Kod Yürütme güvenlik açığı, iisapppool\nmconsole ayrıcalıklarına sahip komutların yürütülmesine izin veriyor ve bu da bir saldırganın sunucuda kod yürütmesine ve hatta altta yatan sisteme erişmesine olanak tanıyor. Bu güvenlik açığı Haziran ayından kalma olsa da araştırmacılar yakın zamanda tehdit aktörlerinin kurumsal ağlara ilk erişimi elde etmek için açığa çıkan sunuculardaki uzaktan kod yürütme güvenlik açığını aktif olarak kullanmaya çalıştıklarını gözlemlediler.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Evet
Dark Web Saldırıları, ICS Güvenlik Açıkları ve Daha Fazlası
Aboneler için hazırlanan tam Cyble raporunda ayrıca karanlık web’de tartışılan sekiz güvenlik açığı, 15 endüstriyel kontrol sistemi (ICS) güvenlik açığı (bunlardan dokuzu Rockwell Automation ürünlerini etkiliyor) ve bazıları yüz binlerce web varlığına maruz kalan en yüksek sayıda güvenlik açığı ele alınıyor.
Güvenlik açığı raporu, Cyble araştırmacıları tarafından her hafta üretilen yüzlercesinden yalnızca biridir ve buna ek olarak istemciye özel özelleştirilebilir raporlama ve uyarılar da vardır. Örneğin, Cyble’ın bu haftaki haftalık sensör raporu, güvenlik açığı istismarlarını ve kötü amaçlı yazılımları, fidye yazılımlarını ve kimlik avı saldırılarını ve ayrıca tehlike göstergelerini (IoC’ler) ele almaktadır.
Cyber Express önümüzdeki haftalarda sizlere Cyble tehdit istihbaratı araştırmacılarının özel haberlerini sunacak.
https://cyble.com/request-demo/” target=”_blank” rel=”noopener”>