ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü yerleştirilmiş Bilinen İstismara Uğrayan Güvenlik Açıklarında üç güvenlik açığı (KEV) aktif sömürünün kanıtlarını gösteren katalog.
Eklenen güvenlik açıkları aşağıdaki gibidir:
- CVE-2023-48788 (CVSS puanı: 9,3) – Fortinet FortiClient EMS SQL Enjeksiyon Güvenlik Açığı
- CVE-2021-44529 (CVSS puanı: 9,8) – Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) Kod Ekleme Güvenlik Açığı
- CVE-2019-7256 (CVSS puanı: 10,0) – Nice Linear eMerge E3-Serisi İşletim Sistemi Komut Ekleme Güvenlik Açığı
Fortinet FortiClient EMS’yi etkileyen eksiklik bu ayın başlarında gün yüzüne çıktı ve şirket bunu, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine olanak tanıyan bir kusur olarak tanımladı.
Fortinet, saldırıların niteliğine ilişkin başka ayrıntı şu anda mevcut olmasa da, vahşi ortamda istismar edildiğini doğrulamak için tavsiyelerini revize etti.
Öte yandan CVE-2021-44529, Ivanti Endpoint Manager Cloud Service Appliance’da (EPM CSA) kimliği doğrulanmamış bir kullanıcının sınırlı izinlerle kötü amaçlı kod yürütmesine olanak tanıyan bir kod yerleştirme güvenlik açığıyla ilgilidir.
Güncel araştırma yayınlanan güvenlik araştırmacısı Ron Bowes, kusurun tanıtıldı En azından 2014’ten beri var olan csrf-magic adlı, artık durdurulan bir açık kaynaklı projede kasıtlı bir arka kapı olarak.
Bir saldırganın Nice Linear eMerge E3-Serisi erişim denetleyicilerinde uzaktan kod yürütmesine izin veren CVE-2019-7256, kullanıma sunuldu Tehdit aktörleri tarafından istismar ediliyor Şubat 2020 gibi erken bir tarihte.
Kusur, diğer 11 hatayla birlikte şunlardı: ele alinan Bu ayın başlarında Nice (eski adıyla Nortek) tarafından. Bununla birlikte, bu güvenlik açıkları orijinal olarak açıklandı güvenlik araştırmacısı Gjoko Krstic tarafından Mayıs 2019’da.
Üç kusurun aktif olarak kullanıldığı göz önüne alındığında, federal kurumların satıcı tarafından sağlanan hafifletici önlemleri 15 Nisan 2024’e kadar uygulaması gerekiyor.
Bu gelişme, CISA ve Federal Soruşturma Bürosu’nun (FBI), yazılım üreticilerini riskleri azaltmak için adımlar atmaya çağıran ortak bir uyarı yayınlamasının ardından geldi. SQL enjeksiyon kusurları.
Uyarı belgesinde, Progress Software’in MOVEit Transferindeki kritik bir SQL enjeksiyon güvenlik açığı olan CVE-2023-34362’nin Cl0p fidye yazılımı çetesi (diğer adıyla Lace Tempest) tarafından binlerce kuruluşa sızmak amacıyla kullanıldığı özellikle vurgulandı.
Ajanslar, “Son yirmi yılda SQLi açıklarına ilişkin yaygın bilgi ve belgelemenin yanı sıra etkili hafifletme yöntemlerinin bulunmasına rağmen, yazılım üreticileri bu kusura sahip ürünler geliştirmeye devam ediyor ve bu da birçok müşteriyi riske atıyor.” söz konusu.
