ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yerleştirilmiş Versa Director’ı etkileyen bir güvenlik açığı, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) aktif sömürüye dair kanıtlara dayalı katalog.
Orta şiddetteki güvenlik açığı, şu şekilde izlendi: CVE-2024-39717 (CVSS puanı: 6.6), bir tehdit aktörünün görünüşte zararsız bir PNG resim dosyası gibi göstererek kötü amaçlı bir dosyayı yüklemesine olanak tanıyan “Favicon’u Değiştir” özelliğini etkileyen bir dosya yükleme hatasıdır.
CISA, bir duyuru yazısında, “Versa Director GUI’si, Sağlayıcı-Veri-Merkezi-Yöneticisi veya Sağlayıcı-Veri-Merkezi-Sistem-Yöneticisi ayrıcalıklarına sahip yöneticilerin kullanıcı arayüzünü özelleştirmesine olanak tanıyan tehlikeli türde güvenlik açığı içeren sınırsız dosya yüklemesi içeriyor” dedi.
“‘Favicon’u Değiştir’ (Favori Simge) .png dosyasının yüklenmesini sağlar ve bu, bir resim gibi gizlenmiş .PNG uzantılı kötü amaçlı bir dosyanın yüklenmesi için kullanılabilir.”
Ancak başarılı bir istismar ancak Provider-Data-Center-Admin veya Provider-Data-Center-System-Admin ayrıcalıklarına sahip bir kullanıcı başarıyla kimlik doğrulaması yapıp oturum açtıktan sonra mümkün olur.
CVE-2024-39717’nin istismarına ilişkin kesin koşullar belirsiz olsa da, NIST Ulusal Güvenlik Açığı Veritabanı’ndaki (NVD) güvenlik açığının açıklamasında, Versa Networks’ün bir müşterinin hedef alındığı doğrulanmış bir örnekten haberdar olduğu belirtiliyor.
“2015 ve 2017’de yayınlanan Güvenlik Duvarı yönergeleri o müşteri tarafından uygulanmadı,” açıklamasında belirtiliyor. “Bu uygulanmama, kötü niyetli kişinin GUI kullanmadan bu güvenlik açığından yararlanabilmesine neden oldu.”
Federal Sivil Yürütme Organı (FCEB) kurumlarının, 13 Eylül 2024 tarihine kadar tedarikçi tarafından sağlanan düzeltmeleri uygulayarak bu açığı önlemek için önlem almaları gerekiyor.
Gelişme, CISA’nın yayınlanmasından birkaç gün sonra geldi eklendi 2021 ve 2022’den KEV kataloğuna dört güvenlik açığı –
- CVE-2021-33044 (CVSS puanı: 9.8) – Dahua IP Kamera Kimlik Doğrulama Baypas Güvenlik Açığı
- CVE-2021-33045 (CVSS puanı: 9.8) – Dahua IP Kamera Kimlik Doğrulama Baypas Güvenlik Açığı
- CVE-2021-31196 (CVSS puanı: 7.2) – Microsoft Exchange Server Bilgi Açıklama Güvenlik Açığı
- CVE-2022-0185 (CVSS puanı: 8.4) – Linux Kernel Yığın Tabanlı Arabellek Taşması Güvenlik Açığı
Çin bağlantılı UNC5174 (diğer adıyla Uteus veya Uetus) kod adlı bir tehdit aktörünün, Mart ayının başlarında Google’a ait Mandiant tarafından CVE-2022-0185’in istismar edilmesinden sorumlu tutulduğunu belirtmekte fayda var.
CVE-2021-31196 başlangıçta ifşa edildi Microsoft Exchange Server’daki güvenlik açıklarının büyük bir kümesinin parçası olarak, toplu olarak ProxyLogon, ProxyShell, ProxyToken ve ProxyOracle olarak izlenir.
“CVE-2021-31196, tehdit aktörlerinin yama uygulanmamış Microsoft Exchange Server örneklerini hedef aldığı etkin istismar kampanyalarında gözlemlendi,” OP Innovate söz konusu“Bu saldırılar genellikle hassas bilgilere yetkisiz erişim sağlamayı, ayrıcalıkları yükseltmeyi veya fidye yazılımı veya kötü amaçlı yazılım gibi daha fazla yük dağıtmayı amaçlar.”