Tehdit aktörleri, Cisco güvenlik cihazlarındaki (CVE-2024-20481), Microsoft Sharepoint’teki (CVE-2024-38094) ve Google’ın Chrome tarayıcısındaki (CVE-2024-4947) sıfır ve n günlük güvenlik açıklarından yararlanıyor.
CVE-2024-20481 (Cisco ASA/FTD)
Geçtiğimiz birkaç gün içinde Cisco, güvenlik cihazlarını destekleyen yazılımı etkileyen bir dizi güvenlik açığına yönelik düzeltmeler yayınladı.
Bunların arasında birkaçı özellikle dikkat çekicidir:
- CVE-2024-20481, Cisco Adaptive Security Appliance (ASA) Yazılımı ve Cisco Firepower Threat Defense (FTD) Yazılımının Uzaktan Erişim VPN (RAVPN) hizmetindeki, kimliği doğrulanmamış, uzaktaki bir saldırganın hizmet reddine neden olmasına izin verebilecek bir güvenlik açığı RAVPN hizmetinin (DoS).
- Cisco Güvenli Güvenlik Duvarı Yönetim Merkezi (FMC) Yazılımını etkileyen CVE-2024-20377, CVE-2024-20387 ve CVE-2024-20388, saldırganların siteler arası komut dosyası çalıştırma (XSS) saldırıları gerçekleştirmesine veya etkilenen cihazdaki hassas bilgilere erişmesine olanak sağlayabilir .
CVE-2024-20481, CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi; bu karar muhtemelen Cisco’nun kusurun kötü niyetli kullanımının farkında olduklarını doğrulamasına dayanmaktadır.
Güvenlik tavsiyesinde yer alan bilgiler, saldırganların şifre püskürtme saldırıları gerçekleştirirken yanlışlıkla kusuru tetiklediklerini gösteriyor.
2024’ün 3. çeyreğini kapsayan Cisco Talos raporuna göre grup, “düşmanların ilk erişimi kolaylaştırmak için geçerli kullanıcı adları ve şifreler elde etmek amacıyla şifre püskürtme kampanyalarından yararlandığı artan sayıda müdahaleye yanıt verdi.”
CVE-2024-20377, CVE-2024-20387 ve CVE-2024-20388 aktif olarak istismar edilmemektedir ancak Cisco’nun Ürün Güvenliği Olayına Müdahale Ekibi, kavram kanıtı yararlanma kodunun onlar için mevcut olduğunun farkındadır.
CVE-2024-38094 (Microsoft Sharepoint)
SharePoint, Microsoft 365’in bir parçası olarak (bulut tabanlı bir hizmet olarak) kullanılabilen veya şirket içi yazılım olarak çalıştırılabilen, Microsoft’un içerik/bilgi yönetimine yönelik kurumsal düzeyde çözümüdür.
CVE-2024-38094, Site Sahibi izinlerine sahip kimliği doğrulanmış bir saldırganın rastgele kod eklemesine ve bunu SharePoint Sunucusu bağlamında yürütmesine olanak tanıyan bir veri seri durumdan çıkarma güvenlik açığıdır.
Güvenlik açığı Microsoft tarafından Temmuz 2024’te düzeltildi.
CISA, CVE-2024-38094’ü KEV kataloğuna ekledi ancak saldırılarla ilgili ayrıntılar şu anda mevcut değil.
Bu özel kusura ilişkin kavram kanıtı istismarları kamuya açıktır.
CVE-2024-4947 (Google Chrome)
Kaspersky araştırmacıları, Kuzey Koreli tehdit aktörlerinin, akıllı bir sosyal mühendislik kampanyası yoluyla kripto para birimi alanındaki bireyleri hedeflemek ve özel bir arka kapı (“Manyscrypt”) ile onları tehlikeye atmak için Chrome’un JavaScript motorundaki bir tür karışıklık güvenlik açığı olan CVE-2024-4947’yi nasıl kullandıklarını paylaştı.
“13 Mayıs 2024’te tüketici sınıfı ürünümüz Kaspersky Total Security, Rusya’da yaşayan bir kişinin kişisel bilgisayarında yeni bir Manuscrypt enfeksiyonu tespit etti. Lazarus nadiren bireylere saldırdığından bu ilgimizi çekti ve daha yakından bakmaya karar verdik. Manuscrypt’in tespit edilmesinden önce teknolojilerimizin, detankzone web sitesinden kaynaklanan Google Chrome web tarayıcısının kötüye kullanıldığını da tespit ettiğini keşfettik.[.]com,” diye açıkladı araştırmacılar.
“Görünüşte bu web sitesi, merkezi olmayan finans (DeFi) NFT tabanlı (değiştirilemez token) çok oyunculu çevrimiçi savaş arenası (MOBA) tank oyunu için profesyonelce tasarlanmış bir ürün sayfasına benziyordu ve kullanıcıları deneme sürümünü indirmeye davet ediyordu. Ama bu sadece bir kılık değiştirmeydi. Bu web sitesinin temelinde, kullanıcının Google Chrome tarayıcısında çalışan, sıfır gün açığını başlatan ve saldırganlara kurbanın bilgisayarı üzerinde tam kontrol sağlayan gizli bir komut dosyası vardı. Virüsün bulaşması için web sitesini ziyaret etmek yeterliydi; oyun sadece dikkat dağıtıcıydı.”
CVE-2024-4947 hızla Google’a bildirildi ve Google tarafından düzeltildi.
Kaspersky’ye göre saldırganlar, güvenliği ihlal etmek için ek bir güvenlik açığından (V8 sanal alan bypass’ı) da yararlandı.
“Bu sorun (330404819) Mart 2024’te gönderilip düzeltildi. Bunun bir hata çarpışması olup olmadığı ve saldırganların bunu ilk keşfedip başlangıçta 0 günlük bir güvenlik açığı olarak mı kullandığı yoksa başlangıçta 1-günlük bir güvenlik açığı olarak mı kullandığı bilinmiyor. günlük güvenlik açığı.