CISA, Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna, Sophos Web Appliance’ta şirket tarafından Nisan 2023’te yamalanan kritik bir güvenlik açığının (CVE-2023-1671) da aralarında bulunduğu üç güvenlik açığı ekledi.
CVE-2023-1671 Hakkında
CVE-2023-1671, Sophos Web Appliance’ın warn-proceed işleyicisinde bulunan ve saldırganların rastgele kod yürütmesine olanak tanıyan bir ön kimlik doğrulama komut ekleme güvenlik açığıdır.
Sophos Web Appliance, bir web proxy’si olarak çalışan ve potansiyel olarak zararlı içeriği çeşitli kötü amaçlı yazılım türlerine karşı tarayan bir web ağ geçidi cihazıdır.
Güvenlik açığı, Nisan ayı başlarında Sophos hata ödül programı aracılığıyla harici bir güvenlik araştırmacısı tarafından ortaya çıkarıldı. Bu durum, 4.3.10.4 sürümünden önceki cihazların tüm sürümlerini etkiledi.
O dönemde şirket, düzeltmeyi içeren güncellemeyi, “otomatik güncelleme” ayarını (varsayılan olarak açıktır) kapatmamış olan tüm Sophos Web Appliance müşterilerine sunmuştu. Sophos ayrıca müşterilere, cihazı bir güvenlik duvarının arkasında tutmalarını, yani cihazın halka açık internet üzerinden erişilemediğinden emin olmalarını tavsiye etti.
Şirket ayrıca Sophos Web Appliance’ın 20 Temmuz 2023’te kullanım ömrünün sonuna ulaşacağını ve bu tarihten sonra güvenlik veya yazılım güncellemelerini almayı bırakacağını da vurguladı. Kuruluşları Sophos Güvenlik Duvarı kullanmaya geçmeye çağırdılar.
CVE-2023-1671’den yararlanıldı
CVE-2023-1671’e yönelik halka açık bir PoC istismarı Nisan ayı sonundan bu yana mevcut ve savunucuların ağlarındaki savunmasız cihazları taramak için kullanabileceği bir komut dosyası da mevcut.
Yine de saldırganların bu kusurdan yararlanmaya çalışması aylar sürdü; bunun nedeni büyük olasılıkla varsayılan otomatik güncelleme ayarının potansiyel hedef havuzunu önemli ölçüde azaltmasıydı.
Ancak şimdi Siber Güvenlik ve Altyapı Ajansı, (her zamanki gibi) bundan daha fazla bilgi sunmasa da, aktif istismara dair kanıt bulunduğunu söylüyor.
Saldırganlar genellikle eski güvenlik açıklarından yararlanır
Kuruluşlardaki güvenlik açığı düzeltme eklerinin düzensiz olması nedeniyle, saldırganlar saldırılarında hâlâ düzenli olarak eski güvenlik açıklarından yararlanıyor.
Aslında, CISA’nın Perşembe günü KEV kataloğuna eklediği üç güvenlik açığından biri, Oracle Fusion Middleware’in Oracle WebLogic Server ürününde bir araştırmacı tarafından bildirilen ve 2020’de yamalanan belirtilmemiş bir hata olan CVE-2020-2551’dir. .