ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Juniper Junos OS’de Ağustos ayında ortaya çıkan bir dizi güvenlik kusuruna karşı güvenlik sağlamak amacıyla federal kurum ve kuruluşlara azaltım uygulamaları için 17 Kasım 2023’e kadar son tarih verdi.
Ajans pazartesi günü katma Bilinen İstismar Edilen Güvenlik Açıklarına yönelik beş güvenlik açığı (KEV) aktif istismarın kanıtlarına dayanan katalog –
- CVE-2023-36844 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisi PHP’de Harici Değişken Değişikliği Güvenlik Açığı
- CVE-2023-36845 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisi ve SRX Serisi PHP’de Harici Değişken Modifikasyonu Güvenlik Açığı
- CVE-2023-36846 (CVSS puanı: 5,3) – Juniper Junos OS SRX Serisinde Kritik İşlev Güvenlik Açığı Açısından Kimlik Doğrulaması Eksik
- CVE-2023-36847 (CVSS puanı: 5,3) – Juniper Junos OS EX Serisinde Kritik İşlev Güvenlik Açığı Açısından Eksik Kimlik Doğrulaması
- CVE-2023-36851 (CVSS puanı: 5,3) – Juniper Junos OS SRX Serisinde Kritik İşlev Güvenlik Açığı Açısından Kimlik Doğrulaması Eksik
Juniper’a göre güvenlik açıkları, yama uygulanmamış cihazlarda uzaktan kod yürütülmesini sağlamak için bir yararlanma zincirine dönüştürülebilir. Listeye ayrıca SRX yükleme kusurunun bir çeşidi olarak tanımlanan CVE-2023-36851 de eklendi.
Juniper, 8 Kasım 2023 tarihli tavsiye niteliğindeki güncellemede, söz konusu “artık bu güvenlik açıklarından başarıyla yararlanıldığının farkındadır” ve müşterilere anında etkili olacak şekilde en son sürümlere güncelleme yapmalarını önermektedir.
Sömürün doğasını çevreleyen ayrıntılar şu anda bilinmiyor.
Ayrı bir uyarıda CISA ayrıca uyardı Royal fidye yazılımı çetesinin, BlackSuit’in “Royal’e benzer bir takım tanımlanmış kodlama özelliklerini” paylaşması nedeniyle markasını BlackSuit olarak değiştirebileceği belirtildi.
Gelişme, Cyfirma’nın kritik güvenlik açıklarına yönelik istismarların darknet forumlarında ve Telegram kanallarında satışa sunulduğunu açıklamasının ardından geldi.
Siber güvenlik firması, “Bu güvenlik açıkları ayrıcalıkların yükseltilmesini, kimlik doğrulamanın atlanmasını, SQL enjeksiyonunu ve uzaktan kod yürütülmesini kapsamakta ve önemli güvenlik riskleri oluşturmaktadır.” söz konusu“Fidye yazılımı grupları, çok sayıda kurbanı tehlikeye atmak için yeraltı forumlarında aktif olarak sıfır gün güvenlik açıklarını arıyor.”
Bu aynı zamanda Huntress’in, tehdit aktörlerinin ilk erişim için bir eczane yönetim yazılımı sağlayıcısı olan Transaction Data Systems tarafından kullanılan yaygın olarak kullanılan ScreenConnect uzaktan erişim aracını kötüye kullanarak birden fazla sağlık kuruluşunu hedef aldığı yönündeki açıklamalarının ardından geldi.
Huntress, “Tehdit aktörü, ortamlara kalıcı erişim sağlamak için ScreenConnect veya AnyDesk örnekleri gibi ek uzaktan erişim araçlarının kurulması da dahil olmak üzere çeşitli adımlar attı.” kayıt edilmiş.
