BASIN BÜLTENİ
MISSOULA, Mont., 13 Şubat 2024 /PRNewswire/ — Uluslararası tanınmış bir siber güvenlik danışmanlık firması olan LMG Security, Amerika Birleşik Devletleri’ndeki yüzlerce kuruluş için önemli bir tehdit oluşturan üç yeni kritik yazılım güvenlik açığını keşfetti. LMG Security’de siber güvenlik danışmanı Emily Gosney, bu güvenlik açıklarını öncelikle kredi birlikleri tarafından içeriği yönetmek için kullanılan bir web uygulamasında keşfetti. Kötü niyetli bir kullanıcı, bu uygulamayı çalıştıran herhangi bir kuruluşa “ultra yönetici” erişimi elde etmek için bu güvenlik açıklarından yararlanabilir. Bu güvenlik açıkları Amerika Birleşik Devletleri’ndeki yüzlerce kuruluş için önemli bir tehdit oluşturuyor.
LMG Security siber güvenlik danışmanı Emily Gosney, “Bu web uygulamasının v7.75’ten önceki sürümlerini kullanan etkilenen kuruluşların yükseltme yapması tavsiye edilir ve bu CMS’nin herhangi bir sürümünü kullanan kuruluşların çok faktörlü kimlik doğrulamayı derhal etkinleştirmesi gerekir” dedi. Belirlenen güvenlik açıklarına aşağıdaki CVE kimlikleri atanmıştır:
CVE-2023-48985: CMS yönetici portalı giriş sayfası ‘login.php’de yansıtılan siteler arası komut dosyası çalıştırma güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir aktörün CMS yönetici portalı için oturum açma kimlik bilgilerine müdahale etmesine olanak sağlayabilir. Bu güvenlik açığı, tam bir “sıfırdan ultra yöneticiye” öldürme zinciri oluşturmak için CVE-2023-48987 ile zincirlenebilir.
CVE-2023-48986: CMS yönetici portalındaki ‘users.php’ dosyasında yansıtılan bir siteler arası komut dosyası çalıştırma güvenlik açığı, daha düşük ayrıcalıklı kötü niyetli bir aktörün ayrıcalıkları yükseltmesine veya daha yüksek ayrıcalık düzeyine sahip bir kullanıcıyı yönetici içinde istenmeyen eylemler gerçekleştirmesi için kandırmasına olanak sağlayabilir portal.
CVE-2023-48987: CMS yönetici portalı içindeki ‘pages.php’deki kör bir SQL ekleme güvenlik açığı, kimliği doğrulanmış kötü niyetli bir kişinin arka uç veritabanına tam okuma/yazma erişimi elde etmesine ve “ultra yönetici” şifresini elde etmek için bundan yararlanmasına olanak sağlayabilir , bu CMS’yi çalıştıran ve çok faktörlü kimlik doğrulamanın etkin olmadığı tüm kuruluşlara erişim izni verir.
Gosney, “‘Ultra yönetici’ hesabı, bu uygulamanın dünya çapındaki her kurulumuna erişim sağlayan bir satıcı arka kapı hesabıdır” diye devam etti. “Bu uygulamanın eski bir sürümünü çalıştıran tek bir kuruluş, halihazırda en son sürümü çalıştıranlar da dahil olmak üzere diğer tüm kullanıcıları riske atabilir.”
Gosney, kendilerini bir veri ihlalinden korumak için şu tavsiyede bulunuyor: “Etkilenen kuruluşların derhal en son yazılım sürümüne geçmeleri ve ‘ultra yönetici’ şifresine sahip kötü niyetli aktörlerin uygulama portallarına giriş yapmasını önlemek için çok faktörlü kimlik doğrulamayı etkinleştirmeleri gerekiyor.” Bu keşif, bu duyurudan önce sorunun düzeltilmesi için standart 90 günlük sürenin ötesinde uygulama sağlayıcısına bildirildi. Şirketin adı ve etkilenen şirket ve yazılımla ilgili tüm ayrıntılar için lütfen şu adresi ziyaret edin: https://www.LMGsecurity.com/news/critical-software-vulneraibility-impacting-credit-unions-discovered-by-lmg-security-researcher-immediate-action-recommended/.
Gosney, kuruluşların mevcut ve potansiyel tedarikçileri için tedarikçi güvenlik standartları konusunda dikkatli olmalarını tavsiye ediyor. Ayrıca kuruluşların, bir saldırganın ortamınızı ihlal etmek için bunları kullanmadan önce uzmanların güvenlik açıklarınızı tespit edebilmesi için web uygulaması ve bulut ortamlarını içeren penetrasyon testlerini en az yılda bir kez gerçekleştirmesini öneriyor. LMG Security’nin bu güvenlik açıklarını keşfetmesi ve ifşa etmesi, siber güvenliğe ve daha güvenli, daha emniyetli bir web oluşturmaya olan bağlılığımızı yeniden doğrulamaktadır. LMG Security, üç güvenlik açığının tamamını yazılım sağlayıcısına sorumlu bir şekilde açıkladı ve yazılım sağlayıcısı, v7.75 uygulamasında bu güvenlik açıklarını gidermiş olabilir.
LMG Güvenliği HAKKINDA
LMG Security, sızma testleri, danışmanlık ve uyumluluk hizmetleri, siber güvenlik çözümleri ve eğitim konularında uzmanlaşmış, siber güvenlik danışmanlığında uluslararası alanda tanınan bir liderdir. Son 15 yılda LMG Güvenlik ekibi, Bugün gösteri ve ekip üyelerinden New York Times’ta alıntılar yapıldı, Wall Street Dergisi, ve diğer birçok yayın. Buna ek olarak ekip, en son araştırmaları ve yazılı kitapları yayınladı. fidye yazılımı ve siber gasp, ağ adli tıpVe veri ihlallerive Black Hat, RSA ve diğer birçok güvenlik konferansında rutin olarak konuşuyoruz. Daha fazla bilgi için ziyaret edin LMGsecurity.com veya LMG Security’yi takip edin LinkedIn.