Siber güvenlik araştırmacıları, Nice Linear eMerge E3 erişim denetleyici sistemlerinde, rastgele işletim sistemi (OS) komutlarının yürütülmesine izin verebilecek yamalanmamış bir güvenlik açığı konusunda uyarıda bulunuyor.
CVE tanımlayıcısına atanan kusur CVE-2024-9441Maksimum 10,0 üzerinden 9,8 CVSS puanına sahip, VulnCheck’e göre.
“Nortek Linear eMerge E3’teki bir güvenlik açığı, kimliği doğrulanmamış uzaktaki saldırganların cihazın rastgele komut yürütmesine neden olmasına olanak tanıyor.” SSD Açıklama söz konusu Geçen ayın sonlarında yayınlanan kusura ilişkin bir tavsiye belgesinde, satıcının henüz bir düzeltme veya geçici çözüm sağlamadığı belirtildi.
Kusur, Nortek Linear eMerge E3 Erişim Kontrolü’nün aşağıdaki sürümlerini etkilemektedir: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 ve 1.00.07.
Kusurun kavram kanıtı (PoC) istismarlarının kamuya açıklanmasının ardından yayınlanması, bunun tehdit aktörleri tarafından istismar edilebileceği endişelerini artırdı.
E3’ü etkileyen bir diğer kritik kusur olan CVE-2019-7256’nın (CVSS puanı: 10,0) olduğunu belirtmekte fayda var. sömürülen Flax Typhoon olarak bilinen bir tehdit aktörü tarafından, duyarlı cihazları artık dağıtılmış olan Raptor Train botnet’ine dahil etmek için.
İlk olarak Mayıs 2019’da açıklanmış olmasına rağmen eksiklik adreslenmiş şirket tarafından bu Mart ayı başlarına kadar.
VulnCheck’ten Jacob Baines, “Ancak satıcının önceki CVE-2019-7256’ya yavaş tepki vermesi göz önüne alındığında, yakın zamanda CVE-2024-9441 için bir yama beklemiyoruz” dedi. “Linear Emerge E3 serisini kullanan kuruluşlar, bu cihazları çevrimdışına almak veya izole etmek için hızlı hareket etmelidir.”
SSD Açıklama ile paylaşılan bir açıklamada Nice, müşterilere ağ bölümlendirmesini zorunlu kılmak, ürüne internetten erişimi kısıtlamak ve ürünü bir ağ güvenlik duvarının arkasına yerleştirmek de dahil olmak üzere en iyi güvenlik uygulamalarını takip etmelerini tavsiye ediyor.