Cyble Research & Intelligence Labs (CRIL), 26 Haziran-2 Temmuz arasındaki haftalık güvenlik açığı raporunda Juniper Networks, OpenSSH ve GitLab’a ait ürünlerdeki yüksek önem derecesine sahip ve kritik kusurlar da dahil olmak üzere 29 güvenlik açığını analiz etti.
Raporda ayrıca Cisco Nexus anahtarlarında aktif olarak istismar edilen orta şiddette bir güvenlik açığı vurgulanırken, karanlık web’de satılan istismarlar ve endüstriyel kontrol sistemi (ICS) güvenlik açıkları da ele alındı.
Her yıl keşfedilen binlerce yeni güvenlik açığından yalnızca küçük bir yüzdesi tehdit aktörleri tarafından aktif olarak istismar ediliyor. Güvenlik ekiplerinin yama ve azaltma çabalarını en önemli tehditlere odaklamalarına yardımcı olmak için The Cyber Express her hafta Cyble’ın son derece yetenekli karanlık web ve tehdit istihbaratı araştırmacılarıyla ortaklık kurarak özellikle yakın ilgiyi hak eden güvenlik açıklarını vurguluyor.
Haftanın En Önemli Güvenlik Açıkları
Cyble araştırmacılarının bu hafta odaklandığı üç yüksek ve kritik güvenlik açığı ile Cisco’nun orta düzeyde güvenlik açığı şunlardır.
CVE-2024-6387: OpenSSH Sunucusu
Etki analizi: OpenSSH’nin sunucusundaki (sshd) bu kimliği doğrulanmamış uzaktan kod yürütme (RCE) açığı, saldırgana tam kök erişimi sağlar. Bir saldırganın bu açığı başarılı bir şekilde kullanması, kök ayrıcalıklarına sahip keyfi kod yürütülmesine, kötü amaçlı yazılım yüklemesine ve arka kapılar oluşturmasına, verileri manipüle etmesine ve diğer savunmasız sistemleri geçmesine, güvenlik duvarları ve saldırı tespit sistemleri gibi güvenlik mekanizmalarını atlatmasına ve önemli veri ihlalleri gerçekleştirmesine ve hassas bilgilerin sızdırılmasına neden olabilir.
İnternet Maruziyeti? Evet
Yama? Evet
CVE-2024-2973: Juniper Ağları
Etki analizi: Bu, Juniper Networks’ Session Smart Router, Session Smart Conductor ve WAN Assurance Router ürünlerindeki kritik bir kimlik doğrulama atlama güvenlik açığıdır. Saldırıya uğrarsa, saldırganlar ağ yapılandırmalarına ve hassas verilere yetkisiz erişim elde edebilir ve bu da tehlikeye atılan yönlendiriciye bağlı diğer sistemlere daha büyük ölçekli saldırılar başlatmak gibi daha fazla kötü amaçlı etkinliğin gerçekleştirilmesine olanak tanıyabilir.
İnternet Maruziyeti? HAYIR
Yama? Evet
CVE-2024-5655: GitLab CE/EE
Etki analizi: Bu, GitLab CE/EE’de 15.8 ila 16.11.5, 17.0 ila 17.0.3 ve 17.1 ila 17.1.1 sürümlerini etkileyen kritik bir güvenlik açığıdır. Bu kusur, saldırganların belirli koşullar altında başka bir kullanıcı olarak bir işlem hattını tetiklemesine olanak tanır ve bu da GitLab içinde yetkisiz eylemlere yol açabilir. İstismar edilirse, bir saldırganın kimliğine bürünülmüş kullanıcıyla aynı izinlere sahip eylemler gerçekleştirmesine olanak tanıyabilir ve bu da olası veri ihlallerine, yetkisiz kod yürütmeye ve CI/CD işlem hattının tehlikeye atılmasına yol açabilir.
İnternet Maruziyeti? Evet
Yama? Evet
CVE-2024-20399: Cisco Nexus Anahtarları
Cyble araştırmacıları ayrıca Çin devlet destekli bir tehdit aktörü grubu olan Velvet Ant’in CVE-2024-20399 güvenlik açığını aktif olarak kullandığını belirtti. Grup, özel kötü amaçlı yazılım yüklemek için Cisco Nexus anahtarlarını hedef alıyor. Bu güvenlik açığından yararlanmak, saldırganların tehlikeye atılan cihazlarda kök ayrıcalıkları elde etmelerine, keyfi komutlar yürütmelerine, kötü amaçlı dosyalar yüklemelerine ve sürekli erişimi sürdürmelerine olanak tanır. Bu güvenlik açığından yararlanmak, hassas verilere yetkisiz erişim ve ağ operasyonlarının potansiyel olarak bozulması gibi önemli riskler oluşturur.
Yama? Evet
Dark Web’de Tartışılan Güvenlik Açıkları ve Saldırılar
Cyble araştırmacıları ayrıca karanlık web’de satışta gördükleri bir dizi istismarı da not ettiler. Bunlar arasında Mozilla Firefox güvenlik açığı (CVE-2024-29943), OpenSSH güvenlik açığı ve Sharp ve Toshiba Tec’in dijital çok işlevli çevre birimlerinde (MFP’ler) bulunan CVE-2024-28955 ve CVE-2024-28955 yol geçiş güvenlik açıkları da yer alıyor. Cyble ayrıca forumlarda Adobe Commerce sürümlerinde bulunan CVE-2024-34102 güvenlik açığını ve Vanna Python kütüphanesinde bulunan CVE-2024-5565 güvenlik açığını tartışan tehdit aktörlerini fark etti.
Araştırmacılar ayrıca Google Chrome for Windows, ABB ASPECT kontrol panelleri ve EntroLink VPN cihazlarını etkileyen iddia edilen sıfır günlük satış açıklarını da gözlemlediler.
Müşterilerimize sunulan tam rapor, Mitsubishi ICONICS, Johnson Controls ve marKoni gibi şirketleri etkileyen 17 endüstriyel kontrol sistemi (ICS) açığı da dahil olmak üzere tüm bu güvenlik açıklarını ve daha fazlasını kapsıyor.
