Siber güvenlik güvenliği araştırmacıları, Nice Linear eMerge E3 erişim denetleyici sistemlerinde, rastgele işletim sistemi (OS) komutlarının yürütülmesine izin verebilecek yamalanmamış bir güvenlik açığı konusunda uyarıda bulunuyor.
CVE tanımlayıcısı CVE-2024-9441 olarak atanan kusur, VulnCheck’e göre maksimum 10,0 üzerinden 9,8 CVSS puanı taşıyor.
Geçen ayın sonlarında yayınlanan kusura ilişkin bir tavsiye niteliğindeki SSD Disposition, satıcının henüz bir düzeltme veya geçici çözüm sağlamadığını belirterek, “Nortek Linear eMerge E3’teki bir güvenlik açığı, kimliği doğrulanmamış uzak saldırganların cihazın rastgele komut yürütmesine neden olmasına izin veriyor.” dedi.
Kusur, Nortek Linear eMerge E3 Erişim Kontrolü’nün aşağıdaki sürümlerini etkilemektedir: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 ve 1.00.07.
Kusurun kavram kanıtı (PoC) istismarlarının kamuya açıklanmasının ardından yayınlanması, bunun tehdit aktörleri tarafından istismar edilebileceği endişelerini artırdı.
E3’ü etkileyen bir diğer kritik kusur olan CVE-2019-7256’nın (CVSS puanı: 10,0), Flax Typhoon olarak bilinen bir tehdit aktörü tarafından, duyarlı cihazları artık kaldırılmış olan Raptor Train botnet’ine dahil etmek için istismar edildiğini belirtmekte fayda var.
İlk olarak Mayıs 2019’da açıklanmış olmasına rağmen, bu eksiklik şirket tarafından bu Mart ayı başlarına kadar giderilmedi.
VulnCheck’ten Jacob Baines, “Ancak satıcının önceki CVE-2019-7256’ya yavaş tepki vermesi göz önüne alındığında, yakın zamanda CVE-2024-9441 için bir yama beklemiyoruz” dedi. “Linear Emerge E3 serisini kullanan kuruluşlar, bu cihazları çevrimdışına almak veya izole etmek için hızlı hareket etmelidir.”
SSD Açıklama ile paylaşılan bir açıklamada Nice, müşterilere ağ bölümlendirmesini zorunlu kılmak, ürüne internetten erişimi kısıtlamak ve ürünü bir ağ güvenlik duvarının arkasına yerleştirmek dahil en iyi güvenlik uygulamalarını takip etmelerini tavsiye ediyor.