CVE-2024-1553 ve CVE-2024-1557, yüksek önem derecesine sahip olarak derecelendirilen bellek güvenliği hatalarıdır. Mozilla araştırmacıları, “Bu hatalardan bazıları hafıza bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunlardan bazılarının rastgele kod çalıştırmak için kullanılabileceğini varsayıyoruz” dedi.
Yakınlaştır
Video konferans devi Zoom, yazılımındaki yedi kusur için düzeltmeler yayınladı; bunlardan birinin CVSS puanı 9,6. CVE-2024-24691, Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom Meeting SDK’sındaki hatalı bir giriş doğrulama hatasıdır. Zoom bir güvenlik bülteninde, sorunun kötüye kullanılması halinde, kimliği doğrulanmamış bir saldırganın ağ erişimi yoluyla ayrıcalıklarını yükseltmesine olanak verebileceğini söyledi.
Dikkate değer bir diğer kusur ise, bazı Zoom 32 bit Windows istemcilerinde, yerel erişime sahip kimliği doğrulanmış bir kullanıcının ayrıcalıklarını yükseltmesine olanak tanıyan güvenilmeyen bir arama yolu sorunu olan CVE-2024-24697’dir.
İvanti
Ocak ayında Ivanti, saldırganların Connect Secure ve Policy Secure ürünlerinde CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen iki yama yapılmamış güvenlik açığını hedef aldığı konusunda uyarmıştı. CVSS puanı 8,2 olan Ivanti Connect Secure ve Ivanti Policy Secure’un web bileşenindeki ilk kimlik doğrulama-atlama güvenlik açığı, uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine olanak tanıyor.
CVSS puanı 9,1 olan, Ivanti Connect Secure ve Ivanti Policy Secure’un web bileşenlerindeki ikinci komut ekleme güvenlik açığı, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve cihazda rastgele komutlar yürütmesine olanak tanır. Bu güvenlik açığından internet üzerinden yararlanılabilir.
Ayın sonunda firma, şirketleri iki ciddi kusura karşı uyardı; bunlardan biri saldırılarda kullanılıyordu. İstismar edilen sorun, CVE-2024-21893 olarak izlenen SAML bileşenindeki sunucu tarafı istek sahteciliği hatasıdır. Bu arada, CVE-2024-21888 bir ayrıcalık yükseltme güvenlik açığıdır.
Yamalar 1 Şubat’ta kullanıma sunuldu ancak sorunlar o kadar ciddi görüldü ki ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2 Şubat’a kadar tüm Ivanti ürünlerinin bağlantısının kesilmesini tavsiye etti.
8 Şubat’ta Ivanti, CVE-2024-22024 olarak takip edilen başka bir sorun için bir yama yayınladı ve bu da başka bir CISA uyarısına yol açtı.
Fortinet
Fortinet, CVSS puanı 9,6 olan ve halihazırda saldırılarda kullanıldığını söylediği kritik bir sorun için bir yama yayınladı. CVE-2024-21762 olarak takip edilen kod yürütme kusuru, FortiOS’un 6.0, 6.2, 6.4, 7.0, 7.2 ve 7.4 sürümlerini etkiliyor. Fortinet, sınır dışı yazma güvenlik açığının, özel hazırlanmış HTTP istekleri kullanılarak rastgele kod yürütülmesi için kullanılabileceğini söyledi.
Bu, firmanın FortiSIEM ürünlerinde CVSS puanı 9,7 ile kritik olarak değerlendirilen CVE-2024-23108 ve CVE-2024-23109 adlı iki sorun için bir yama yayınlamasından sadece birkaç gün sonra geldi. Fortinet bir danışma belgesinde, FortiSIEM Supervisor’daki kusurun, kimliği doğrulanmamış uzaktaki bir saldırganın hazırlanmış API istekleri yoluyla yetkisiz komutlar yürütmesine izin verebileceğini söyledi.
Cisco
Cisco, Expressway Serisinde, kimliği doğrulanmamış, uzaktaki bir saldırganın siteler arası istek sahteciliği saldırıları gerçekleştirmesine olanak verebilecek çok sayıda güvenlik açığını listeledi.
CVE-2024-20252 ve CVE-2024-20254 olarak takip edilen Cisco Expressway Serisi cihazların API’sindeki iki güvenlik açığına 9,6 CVSS puanı verildi. Cisco, “Bir saldırgan, API kullanıcısını hazırlanmış bir bağlantıyı takip etmeye ikna ederek bu güvenlik açıklarından yararlanabilir” dedi. “Başarılı bir istismar, saldırganın etkilenen kullanıcının ayrıcalık düzeyiyle keyfi eylemler gerçekleştirmesine olanak tanıyabilir.”
SAP’nin
Kurumsal yazılım firması SAP, SAP Güvenlik Yaması Günü kapsamında 13 güvenlik güncellemesi yayınladı. CVE-2024-22131, SAP ABA’da CVSS puanı 9,1 olan bir kod ekleme güvenlik açığıdır.
CVE-2024-22126, NetWeaver AS Java’da yüksek etkiye sahip olarak listelenen ve CVSS puanı 8,8 olan bir siteler arası komut dosyası çalıştırma güvenlik açığıdır. Güvenlik firması Onapsis, “Gelen URL parametreleri, yönlendirme URL’lerine dahil edilmeden önce yeterince doğrulanmıyor ve hatalı şekilde kodlanıyor” dedi. “Bu, siteler arası komut dosyası çalıştırma güvenlik açığına yol açarak gizlilik üzerinde yüksek bir etkiye, bütünlük ve kullanılabilirlik üzerinde ise hafif bir etkiye yol açabilir.”