Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kimliği doğrulanmış saldırganların savunmasız bir Microsoft SharePoint Sunucusu üzerinde uzaktan kod yürütmesine olanak tanıyan bir kod yerleştirme güvenlik açığı olan CVE-2023-24955'i KEV kataloğuna ekledi ve ABD federal sivil kurumlarının bu güvenlik açığını uygulamasını talep ediyor. 16 Nisan'a kadar yama yapın.
Her zamanki gibi kusurun kullanıldığı saldırının detayları paylaşılmadı.
CVE-2023-24955 ve CVE-2023-29357 hakkında
Saldırganların kimlik doğrulamasını atlayıp yönetici ayrıcalıklarına erişmesine olanak tanıyan bir Microsoft SharePoint Server kusuru olan CVE-2023-24955 ve CVE-2023-29357, güvenlik araştırmacısı Nguyenễn Tiến Giang (Jang) Mart 2023'te Pwn2Own Vancouver'da, SharePoint 2019 (16.0.10396.20000) çalıştıran tamamen yama uygulanmış bir makinede ön kimlik doğrulama RCE elde etmek için.
Microsoft, iki güvenlik açığı için sırasıyla Mayıs ve Haziran 2023'te yamalar yayınladı.
Araştırmacı, istismar zincirinin teknik bir analizini Eylül 2023'te yayınladı ve PoC istismarını Aralık 2023'te yayınladı. (CVE-2023-29357 için bağımsız bir PoC istismarı da Eylül 2023'te GitHub'da yayınlandı.)
Ancak şans eseri saldırganların CVE-2023-29357'yi doğada istismar etmesi biraz zaman aldı: CISA bunu Ocak 2024'te KEV kataloğuna ekledi.
Hızlı bir şekilde yama yapın (henüz yapmadıysanız)
“Bu CISA tavsiye belgesi, özellikle hassas verileri işleyen özel ve halka açık sunucular için yazılımınıza düzenli olarak yama uygulanmasının ve güncellenmesinin önemini vurgulamaktadır. Synopsys Yazılım Bütünlüğü Grubu Üyesi Ray Kelly, Help Net Security'ye verdiği demeçte, “Bu zincirleme güvenlik açıkları çok ciddi çünkü saldırganların kimlik doğrulamayı atlatmasına ve savunmasız sunucularda uzaktan kod yürütmesine olanak tanıyor” dedi.
“Ancak bu güvenlik açıklarına yönelik güvenlik yamalarının geçen yazdan bu yana mevcut olduğunu belirtmekte fayda var. CISA'nın şu anda bizi aktif istismar konusunda uyarması, birçok kuruluşun gerekli güvenlik güncellemelerini zamanında uygulama konusunda başarısız olduğunu gösteriyor. Kötü niyetli aktörler her zaman kolay hedefleri arayacak ve yama yapılmamış bir sunucu her zaman onların seçimini kolaylaştıracaktır.”
CISA'nın KEV kataloğu, ABD Federal Sivil Yürütme Organı (FCEB) kurumları için derlenmiştir, ancak özel kuruluşlar da dahil olmak üzere tüm kuruluşlar, güvenlik açığı yönetimi çabalarına öncelik verilmesine yardımcı olmak için bunu kullanabilir ve kullanmalıdır.