CISA’nın Uyarısı: Güncellenmiş Güvenlik Açıkları
ABD’deki federal ajanslara yönelik CISA, yeni bir siber saldırı tehdidi konusunda uyarıda bulundu. Bu tehdit, ConnectWise ScreenConnect’te tespit edilen ve kısa süre önce yamalanan bir güvenlik açığından kaynaklanıyor. Bu açık, sunucuda uzaktan kod çalıştırma riski taşıyor. CISA, bunun yanı sıra ASUS yönlendiricileri ve Craft içerik yönetim sistemi (CMS) üzerinde faal olarak istismar edilen dört başka güvenlik sorununu da duyurdu.
ConnectWise ScreenConnect’teki Güvenlik Açığı
ConnectWise, 24 Nisan tarihinde, CVE-2025-3935 olarak takip edilen güvenlik sorununu ele aldı. Bu açığın, ViewState kod enjeksiyonu saldırısı için istismar edilebileceği belirtildi. ASP.NET Web Forms, sayfa ve kontrol durumunu korumak için ViewState bileşenine dayanıyor. Bu bileşen, base64 ile kodlanmış verileri kullanarak makine anahtarları tarafından korunan bir formatta sayfa ve kontrol durumunu korur.
Eğer bir saldırgan, ayrıcalıklı erişim ile makine anahtarlarını ele geçirirse, zararlı yükler aracılığıyla sunucuda istismar edilerek uzaktan kod çalıştırılabilir. Yakın zamanda yaşanan ConnectWise ihlali, devlet destekli bir operasyon olduğu iddia edilmekte ve bazı müşteriler bu olayın CVE-2025-3935 ile bağlantılı olabileceğini dile getirmiştir. Ancak, ConnectWise saldırı yöntemi veya ihlal şekli hakkında herhangi bir yorumda bulunmamıştır. Çeşitli raporlar, ConnectWise’in yalnızca “çok az sayıda ScreenConnect müşterisinin” etkilenmiş olduğunu bildirdiğini göstermektedir.
ASUS ve Craft CMS Üzerindeki Kritik Hatalar
Bu hafta CISA’nın yaptığı bir uyarıda, ASUS yönlendiricileri ve Craft CMS üzerindeki dört güvenlik açığı ile ilgili siber tehditler belirtilmiştir. Bu güvenlik açıklarından ikisi oldukça kritik seviyededir. İşte bu açıkların detayları:
- CVE-2021-32030 (9.8 kritik şiddet puanı): ASUS GT-AC2900 ve Lyra Mini cihazlarında kimlik doğrulama atlamasına olanak tanır.
- CVE-2023-39780 (8.8 yüksek şiddet puanı): ASUS RT-AX55 üzerinde OS enjeksiyonu, kimlik doğrulama gerektirmektedir.
- CVE-2024-56145 (9.3 kritik şiddet puanı): Belirli koşullar altında, Craft CMS’de kod enjeksiyonu yaparak uzaktan kod çalıştırılmasına neden olabilir.
- CVE-2025-35939 (6.9 orta şiddet puanı): Doğrulama yapılmamış bir istemci, Craft CMS sunucusundaki tanınan dosya konumlarına PHP kodu enjekte edebilmektedir.
ASUS RT-AX55 cihazını etkileyen açık, son birkaç ay boyunca gizli saldırılarda istismar edilmiştir. Görünüşe göre, bu saldırılar “iyi kaynaklanmış ve son derece yetenekli bir düşman” tarafından gerçekleştirilmiştir. Siber güvenlik platformu GreyNoise‘un geçtiğimiz hafta yayımladığı bir raporda, hackerların CVE-2023-39780 açıklarını ve kimlik doğrulama atlama tekniklerini birleştirerek AyySSHush adında bir botnet oluşturdukları belirtilmiştir.
Öneriler ve Çözüm Yöntemleri
CISA, bu beş güvenlik sorununu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu’na eklemiştir. Federal ajansların, belirtilen ürünlerin kullanımını sonlandırmadan önce, üretici tarafından önerilen önlemleri uygulaması beklenmektedir. Bu önlemlerin, 23 Haziran’a kadar hayata geçirilmesi gerektiği vurgulanmaktadır.
Bu durum, kurumların güvenlik protokollerini gözden geçirmelerini ve gerekli yamaları yapmalarını zorunlu kılmaktadır. Ayrıca, güvenlik açıkları etkin bir şekilde kapatılmadığı takdirde, siber saldırılara karşı savunmasız kalacak olan birçok kuruluş bulunmaktadır.
Günümüzde siber güvenlik tehditleri, hızla evrim geçirirken, bu tür ihlallerin önlenmesi her zamankinden daha önemlidir. Özellikle iş dünyası ve kamu sektörü, güvenlik açıklarına karşı daha fazla dikkat göstermeli ve gerekli adımları atmalıdır. CISA’nın tüm uyarılarını dikkate almak ve güncellemeleri zamanında uygulamak, siber tehditlere karşı korunmanın ilk ve en etkili yoludur. Uygulama ve güvenlik protokollerinin güçlendirilmesi, siber güvenlik alanındaki başarı için hayati önem taşımaktadır.
