Cyble Research & Intelligence Labs (CRIL) araştırmacıları, güvenlik ekiplerinin önceliklendirmesi gereken altı güvenlik açığı listesine ulaşmamıza yardımcı olmak için bu hafta 22 güvenlik açığının yanı sıra endüstriyel kontrol sistemi (ICS) güvenlik açıklarını ve karanlık web istismarlarını araştırdı.
Söz konusu güvenlik açıkları arasında ServiceNow, Acronis, VMware, Microsoft Outlook, Progress Telerik ve Docker Engine’deki istismar edilebilir kusurlar yer alıyor.
Cyber Express her hafta, Cyble’ın yetenekli karanlık ağ ve tehdit istihbaratı araştırmacılarıyla iş birliği yaparak, güvenlik ekipleri tarafından öncelikli olarak düzeltilmesi gereken ve istismar ve saldırı riski daha yüksek olan güvenlik açıklarını ortaya çıkarıyor.
Haftanın En Önemli Güvenlik Açıkları
Cyble araştırmacılarının bu hafta vurguladığı altı yüksek önem derecesine sahip ve kritik güvenlik açığı şunlardır.
CVE-2024-37085: VMware ESXi
Etki analizi: Bu yüksek önem derecesine sahip kimlik doğrulama atlama güvenlik açığı, kurumsal sınıf, tip-1 hipervizör olan VMware ESXi’yi etkiler ve fidye yazılımı grupları tarafından aktif saldırı altındadır. Yeterli Active Directory (AD) izinlerine sahip kötü niyetli bir aktör, daha önce kullanıcı yönetimi için AD kullanacak şekilde yapılandırılmış bir ESXi ana bilgisayarına tam erişim elde edebilir. Saldırgan ayrıca ‘ESX Yöneticileri’ grubuna yeni kullanıcılar ekleyebilir ve yönetici izinlerini kullanarak sanal makinelerden hassas verileri çalabilir, kurbanların ağları arasında yatay olarak hareket edebilir ve ardından ESXi hipervizörünün dosya sistemini şifreleyerek kesintilere neden olabilir ve iş operasyonlarını bozabilir.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Evet
CVE-2017-11774: Microsoft Outlook
Etki analizi: Bu yüksek önem derecesine sahip güvenlik açığı Microsoft Outlook 2010 SP2, Outlook 2013 SP1 ve RT SP1 ve Outlook 2016’yı etkiliyor ve bir saldırganın Microsoft Office’in bellekteki nesneleri işleme şekli nedeniyle keyfi komutlar yürütmesine olanak tanıyor. Araştırmacılar yakın zamanda “Specula” adlı yeni bir kırmızı takım istismar sonrası çerçevesi yayınladılar. Bu çerçeveyle Microsoft Outlook, uzaktan kod yürütmek için bir C2 işaretçisine dönüştürülebiliyor. Çerçeve, CVE-2017-11774’ü istismar ederek WebView kullanan özel bir Outlook Ana Sayfası oluşturarak çalışıyor. Outlook.exe güvenilir bir işlem olduğundan, komutlar yürütülürken saldırganların mevcut yazılımlardan kaçmasını kolaylaştırıyor. Cyble araştırmacıları yeni araştırma nedeniyle “gelecekte saldırganların aracı kötü amaçlı amaçlarla kullandığını görebileceğimize inanıyoruz” sonucuna vardılar.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2024-4879: ServiceNow
Etki analizi: Bu kritik önemdeki giriş doğrulama güvenlik açığı, ServiceNow bulut tabanlı kurumsal iş akışı yönetim platformunu etkiler. Güvenlik açığı, kimliği doğrulanmamış saldırganların Now Platform’un birden fazla sürümünde uzaktan kod yürütme gerçekleştirmesine olanak tanır ve tarih ihlali saldırılarına yol açar.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Evet
CVE-2024-6327: İlerleme Telerik Rapor Sunucusu
Etki analizi: Bu kritik güvensiz deserializasyon açığı, sunucu tabanlı bir raporlama platformu olan Progress Telerik Report Server’ı etkiliyor. Saldırganlar, güvenlik açığını kullanarak güvenlik açığı bulunan cihazları tehlikeye atabilir ve bu da uzaktan kod yürütme ve daha sonra veri sızdırma saldırılarına yol açabilir. Progress Telerik’in son aylarda ikinci kez büyük güvenlik açıklarıyla karşılaşması.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Evet
CVE-2024-41110: Docker Motoru
Etki analizi: Bu 10/10 kritik güvenlik açığı, açık kaynaklı bir istemci-sunucu teknolojisi olan Docker Engine’in belirli sürümlerini etkiler. Saldırganlar, belirli koşullar altında yetkilendirme eklentilerini (AuthZ) atlatmak için bu güvenlik açığından yararlanabilir ve bu da ayrıcalık yükseltmesi de dahil olmak üzere yetkisiz eylemlere yol açabilir.
İnternet Maruziyeti? HAYIR
Yama Mevcut Mu? Evet
CVE-2023-45249: Acronis Siber Altyapısı
Etki analizi: Bu kritik uzaktan komut yürütme güvenlik açığı, siber koruma için tasarlanmış çok kiracılı, hiper birleşik bir altyapı çözümü olan Acronis Cyber Infrastructure’ı (ACI) etkiler. Güvenlik açığı, saldırganların varsayılan kimlik bilgilerini kullanarak güvenlik açığı bulunan sunucularda kimlik doğrulamasını atlamasına olanak tanır. CISA yakın zamanda bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi ve bu da saldırganların kuruluşları hedef almak için bu açığı etkin bir şekilde istismar ettiğini ima ediyor.
İnternet Maruziyeti? Evet
Yama Mevcut Mu? Evet
Dark Web Saldırıları, ICS Güvenlik Açıkları ve Daha Fazlası
Aboneler için hazırlanan tam Cyble raporunda ayrıca karanlık web’de tartışılan 11 güvenlik açığı, üç endüstriyel kontrol sistemi (ICS) güvenlik açığı ve bazıları yüz binlerce olan en yüksek sayıda web varlığı ifşasına sahip güvenlik açıkları ele alınıyor.
Güvenlik açığı raporu, Cyble araştırmacıları tarafından her hafta üretilen yüzlercesinden yalnızca biridir; ayrıca istemciye özel özelleştirilebilir raporlama ve uyarılar da mevcuttur. Örneğin, Cyble’ın haftalık sensör raporu, bu hafta Cyble’ın tarama faaliyetlerinde gözlemlenen yaklaşık 20 güvenlik açığı istismarını ve kötü amaçlı yazılım, fidye yazılımı ve kimlik avı saldırısını ve ayrıca tehlike göstergelerine (IoC’ler) baktı.
