Karanlık forumlar ve Telegram kanalları, tehdit aktörlerinin kritik güvenlik açıklarını ve istismarları satabileceği harika yerler haline geldi.
Bu güvenlik açıkları ve istismarlar; Windows, JetBrains yazılımı, Microsoft Streaming Service Proxy ve Ubuntu çekirdekleri gibi ürünlerdeki Ayrıcalık Yükselmesi, Kimlik Doğrulama Atlaması, SQL Enjeksiyonu ve Uzaktan Kod Yürütme ile ilişkilendirildi.
Son keşifler, bu güvenlik açıklarının, Satıcı bunları resmi olarak atamadan önce bile yer altı forumlarında satıldığını belirtiyor.
Bunun bir örneği, Şubat ayında satışa sunulan Microsoft Streaming Server güvenlik açığıydı (CVE-2023-36802), ancak CVE resmi olarak Eylül 2023’te atandı.
Temel Güvenlik Açıkları
Cyber Security News ile paylaşılan raporlara göre, bazı fidye yazılımı gruplarının kurban ağı içinde ilk erişimi ve yanal hareketi elde etmek için kullandığı yer altı forumlarında çok sayıda kritik ve yüksek şiddette güvenlik açığı satıldı.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Kritik Güvenlik Açıkları
CVE-2023-34362: MOVEit RCE Güvenlik Açığı (Cl0p Fidye Yazılımı grubu tarafından istismar edildi)
Bu güvenlik açığı 02 Haziran 2023’te NVD’de yayımlandı. Ancak Mayıs 2023’ten itibaren tehdit aktörleri tarafından istismar edildiği gözlemlendi. Bu güvenlik açığının ciddiyeti 9.8 (Kritik) idi ve Progress tarafından yamalanmıştı.
Bu güvenlik açığı, kullanıcı tarafından sağlanan verilerin yeterince temizlenmemesi nedeniyle ortaya çıkıyor ve bu durum, kimliği doğrulanmamış uzak saldırganların MOVEit uygulamasına erişmesine olanak tanıyor. Cl0p fidye yazılımı grubu, bu güvenlik açığıyla ABD’de 3000’den fazla, dünya çapında ise 8000’den fazla kuruluşu hedef aldı.
CVE-2023-3519: Citrix ADC ve Gateway güvenlik açığı (Bilinmeyen tehdit aktörü tarafından istismar edildi)
NVD bu güvenlik açığını 19 Haziran 2023’te yayınladı ve Citrix Temmuz 2023’te yama yaptı. Ancak tehdit aktörlerinin Haziran 2023’te bu güvenlik açığından yararlandığı görüldü ve bu durum Netscaler ADC ve Gateway sürümlerini etkiledi.
Bir tehdit aktörü, herhangi bir kimlik doğrulaması olmadan hassas bilgileri çalmak amacıyla etkilenen Citrix ADC ve Gateway sistemlerinde uzaktan kod yürütmek için bu güvenlik açığını kullanabilir. Bu güvenlik açığının ciddiyeti 9,8 (Kritik).
CVE-2023-42793: JetBrains Kimliği Doğrulanmamış RCE (Kuzey Koreli Tehdit aktörleri tarafından Kullanılıyor)
Bu güvenlik açığı, kimliği doğrulanmamış bir tehdit aktörünün TeamCity sunucusuna erişmesine ve uzaktan kod yürütmesine olanak tanıyarak kaynak kodunu tehlikeye atabilir ve tedarik zinciri saldırısına katkıda bulunabilir.
Bu güvenlik açığı Eylül 2023’te NVD’de yayınlandı ve Ekim 2023’te yer altı forumlarında satıldığı tespit edildi. RCE güvenlik açığına yol açan bu kimlik doğrulama atlamasına 9,8 (Kritik) önem derecesi verildi.
Microsoft’a göre bu güvenlik açığı, Diamond Sleet ve Onyx Sleet gibi Kuzey Kore ulus devleti tehdit aktörleri tarafından hedeflerine kötü amaçlı yazılım ve arka kapılar yüklemek için potansiyel olarak kullanıldı.
Yeraltı pazarında satılan güvenlik açıkları, bunlarla ilişkili tehdit grupları ve diğer bilgiler hakkında eksiksiz bir rapor yayınlandı.
Bu ürünlerin kullanıcılarının, etkilenen sürümlere uygun şekilde yama yapmaları ve bunların tehdit aktörleri tarafından istismar edilmesini önlemek için önlem almaları önerilir.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.