ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları listesine iki güvenlik açığı daha ekledi (KEV) kataloğu, aktif sömürüye dair kanıtlara dayanmaktadır.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2012-4792 (CVSS puanı: 9.3) – Microsoft Internet Explorer Kullanım Sonrası Serbest Bırakma Güvenlik Açığı
- CVE-2024-39891 (CVSS puanı: 5.3) – Twilio Authy Bilgi Açıklama Güvenlik Açığı
CVE-2012-4792, Internet Explorer’da on yıldır var olan, özel olarak hazırlanmış bir site aracılığıyla uzaktaki bir saldırganın keyfi kod çalıştırmasına olanak tanıyan bir güvenlik açığıdır.
Bu açığın tekrar istismar edilip edilmediği henüz belli değil, ancak Aralık 2012’de Dış İlişkiler Konseyi (CFR) ve Capstone Turbine Corporation web sitelerini hedef alan watering hole saldırılarının bir parçası olarak kötüye kullanıldığı biliniyor.
Öte yandan CVE-2024-39891, kimliği doğrulanmamış bir uç noktadaki bilgi ifşa hatasını ifade eder ve “bir telefon numarası içeren bir isteği kabul etmek ve telefon numarasının Authy’de kayıtlı olup olmadığına ilişkin bilgiyle yanıt vermek” için kullanılabilir.
Twilio, bu ayın başlarında, kimliği belirsiz tehdit aktörlerinin Authy hesaplarıyla ilişkili verileri tespit etmek için bu eksiklikten yararlanmasının ardından sorunun 25.1.0 (Android) ve 26.1.0 (iOS) sürümlerinde çözüldüğünü duyurdu.
“Bu tür güvenlik açıkları kötü niyetli siber aktörler için sık görülen saldırı vektörleridir ve federal işletmeler için önemli riskler oluştururlar,” CISA söz konusu bir danışmada.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 13 Ağustos 2024 tarihine kadar tespit edilen güvenlik açıklarını gidermeleri gerekiyor.