Yamalı bir Sophos güvenlik açığı Web Appliance’ın vahşi ortamda istismar edildiği bulundu. CVE-2023-1671 kritik güvenlik açığıyla ilgili ilk danışma belgesi 4 Nisan 2023’te yayınlandı. Bu ön yetkilendirme komut enjeksiyonu Sophos güvenlik açığı, rastgele kod yürütülmesine izin verdi.
Kimlik doğrulama öncesi komut enjeksiyonu Sophos güvenlik açığı hakkında ayrıntılar
Yetkilendirme öncesi komut enjeksiyonu Sophos güvenlik açığı, 4.3.10.4’ten önceki sürümlerde bulundu. CVE-2023-1671’in önem derecesi 9,8’dir. Güvenlik açığı, bir güvenlik araştırmacısı tarafından Sophos bug bounty programı aracılığıyla keşfedildi.
Sophos, danışma belgesinde, güncellemenin varsayılan olarak otomatik olarak yükleneceği için müşterilerin herhangi bir işlem yapmasına gerek olmadığını yazdı. Yama, başka bir Perl betiğine kabuk oluşturan Perl betiğinde yazılmıştır.
Bir GitHub danışma belgesi, ön yetkilendirme komut enjeksiyonu Sophos güvenlik açığının düşük bir saldırı karmaşıklığına sahip olduğunu ve ne ek ayrıcalıklar ne de kullanıcı etkileşimi gerektirmediğini okudu. Yamalı Sophos güvenlik açığından yararlanan siber saldırıların ciddiyeti henüz net değil.
Bilgisayar korsanı, keyfi kod çalıştırmanın yanı sıra, sistem kabuğuna bir komut enjekte etmek için oturum tanımlama bilgileri ve formlar dahil olmak üzere kullanıcı verilerini aktarabilir.
Kimlik doğrulama öncesi komut ekleme kusurunun yanı sıra, Sophos web cihazını etkileyen CVE-2022-4934 ve CVE-2020-36692 adlı iki güvenlik açığı daha kaydedildi. İlki yüksek önem dereceli bir güvenlik açığı iken, ikincisi orta şiddetteydi.
Sophos Güvenlik Açığı istismar raporu
Güvenlik açıklarından yararlanma oranı 2022’de %15’e düşerken, sıfır gün kullanımı 2021’deki %52’den %42’ye düştü. Kamuya açıklanan güvenlik açıklarının yaklaşık %56’sının, ifşa edildikten sonraki 7 gün içinde istismar edildiği tespit edildi.
“2020’de, rapor güvenlik açıklarımızın %30’u ifşa edildikten sonraki bir hafta içinde vahşi ortamda kullanıldı. 2021’de bu %50’ye çıktı. 2022’de, bildirilen güvenlik açıklarımızın %56’sı ifşa edildikten sonraki bir hafta içinde istismar edildi,” diye ekledi Caitlin.
Bu, yalnızca böcek avına değil, aksi takdirde tüm kuruluşu riske atabilecek güvenlik açıklarının anında yamalanmasına yönelik olarak da çalışabilecek uzman ellere olan ihtiyacı vurgulamaktadır.
Hata avı döngüsünü ve diğer prosedürleri takip etmeleri için güvenlik ekipleri üzerinde uygulanan baskı, yalnızca şirketlerin değil hükümetlerin de ilgilenmesi gereken tükenmişliğe yol açıyor. İşin personele dağıtılması ve güvenlik açıkları ile diğer görevlerin zamanında ele alınması açısından sağlıklı bir çalışma ortamını teşvik eden bir çalışma planı ve politikası oluşturmaları gerekir.