ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan Önemli Uyarı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edilen dört güvenlik açığını duyurdu. Bu açıklar, SimpleHelp yazılımı, Samsung MagicINFO 9 Sunucusu ve D-Link DIR-823X serisi yönlendiricileri etkilemektedir.
Etkilenen Güvenlik Açıkları
Bu güvenlik açıkları aşağıda listelenmiştir:
- CVE-2024-57726 (CVSS puanı: 9.9) – SimpleHelp’deki eksik yetkilendirme açığı, düşük yetkili teknisyenlerin aşırı izinlere sahip API anahtarları oluşturmalarına olanak tanır; bu açık, sunucu yönetici rolüne yetki yükseltimi yapılmasına neden olabilir.
- CVE-2024-57728 (CVSS puanı: 7.2) – SimpleHelp’de bir yol geçişi açığı, yönetici kullanıcıların özel bir zip dosyası yükleyerek dosya sisteminin herhangi bir yerine rastgele dosyalar yüklemesine izin verir; bu açık, SimpleHelp sunucu kullanıcısının bağlamında rastgele kod çalıştırma potansiyeli taşır.
- CVE-2024-7399 (CVSS puanı: 8.8) – Samsung MagicINFO 9 Sunucusu’ndaki yol geçişi açığı, saldırganın sistem yetkisi ile rastgele dosyalar yazmasına sebep olabilir.
- CVE-2025-29635 (CVSS puanı: 7.5) – Sonlanmış D-Link DIR-823X serisi yönlendiricilerdeki komut enjeksiyonu açığı, yetkili bir saldırganın /goform/set_prohibiting yoluna bir POST isteği göndererek uzaktaki cihazlarda rastgele komutlar çalıştırmasına olanak tanır.
Saldırı Nasıl Çalışıyor?
SimpleHelp’deki güvenlik açıkları, daha önce fidye yazılımı saldırılarında bir öncü olarak kullanıldığı tespit edilmiştir. Özellikle, bu açıklarla bağlantılı bir kampanya, DragonForce fidye yazılımı operasyonuna dair bir iz bıraktı.
CVE-2024-7399’un istismarı, geçmişte Mirai botnet’inin kötü niyetli aktivitelerine bağlanmıştır. Ek olarak, CVE-2025-29635 ile ilgili olarak, Akamai, D-Link cihazlarına yönelik “tuxnokill” adı verilen bir Mirai botnet varyantını teslim etme girişimlerini kaydetmiştir.
Çözüm ve Korunma
Aktif tehditleri hafifletmek amacıyla, Federal Sivil İdari Daire (FCEB) ajanslarının aşağıdaki adımları atması önerilmektedir:
- Güvenlik açıkları için güncellemeleri uygulayın.
- CVE-2025-29635 için, cihazın kullanımını en geç 8 Mayıs 2026 tarihine kadar durdurun.
Sonuç
Kullanıcıların ve sistem yöneticilerinin, yukarıda belirtilen güvenlik açıklarını ciddiye alarak gerekli güncellemeleri yapmaları ve kamuya açık alanlarda bu cihazları kullanmaktan kaçınmaları tavsiye edilmektedir. Güvenliğinizi sağlamak için düzenli olarak sistemlerinizi güncel tutun ve potansiyel tehditleri göz önünde bulundurun.
