10 Ocak 2024Haber odasıYama Yönetimi / Tehdit İstihbaratı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), katma Bilinen İstismara Uğrayan Güvenlik Açıklarında altı güvenlik açığı (KEV) aktif sömürünün kanıtlarını gösteren katalog.
Bu içerir CVE-2023-27524 (CVSS puanı: 8,9), Apache Superset açık kaynaklı veri görselleştirme yazılımını etkileyen ve uzaktan kod yürütülmesine olanak sağlayabilecek yüksek önem derecesine sahip bir güvenlik açığı. 2.1 sürümünde düzeltildi.
Sorunun ayrıntıları ilk olarak Nisan 2023’te ortaya çıktı ve Horizon3.ai’den Naveen Sunkavally bunu “Kimliği doğrulanmamış bir saldırganın uzaktan kod yürütmesine, kimlik bilgileri toplamasına ve verileri tehlikeye atmasına olanak tanıyan Apache Superset’teki tehlikeli bir varsayılan yapılandırma” olarak tanımladı.
Şu anda bu güvenlik açığının vahşi ortamda nasıl istismar edildiği bilinmiyor. Ayrıca CISA tarafından eklenen beş kusur daha var:
- CVE-2023-38203 (CVSS puanı: 9,8) – Adobe ColdFusion ile Güvenilmeyen Verilerdeki Güvenlik Açığı Seriden Çıkarma
- CVE-2023-29300 (CVSS puanı: 9,8) – Adobe ColdFusion ile Güvenilmeyen Verilerdeki Güvenlik Açığı Seriden Çıkarma
- CVE-2023-41990 (CVSS puanı: 7,8) – Apple’da Çoklu Ürün Kodu Yürütme Güvenlik Açığı
- CVE-2016-20017 (CVSS puanı: 9,8) – D-Link DSL-2750B Cihazlarına Komut Ekleme Güvenlik Açığı
- CVE-2023-23752 (CVSS puanı: 5.3) – Joomla! Uygunsuz Erişim Kontrolü Güvenlik Açığı
Apple tarafından iOS 15.7.8 ve iOS 16.3’te yamalanan CVE-2023-41990’ın, özel hazırlanmış bir iMessage PDF ekini işlerken uzaktan kod yürütmeyi sağlamak için Üçgenleme Operasyonu casus yazılım saldırılarının bir parçası olarak bilinmeyen aktörler tarafından kullanıldığını belirtmekte fayda var.
Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 29 Ocak 2024’e kadar yukarıda belirtilen hatalara yönelik düzeltmeleri uygulamaları önerildi.