ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü eklendi Bilinen İstismar Edilen Güvenlik Açıklarında iki güvenlik açığı (KEV) vahşi doğada aktif sömürünün kanıtlarını gösteren katalog.
Kusurların listesi aşağıdadır –
- CVE-2024-20767 (CVSS puanı: 7,4) – Adobe ColdFusion, bir saldırganın internete açık bir yönetici paneli aracılığıyla kısıtlanmış dosyalara erişmesine veya bunları değiştirmesine izin verebilecek uygunsuz bir erişim kontrolü güvenlik açığı içerir (Adobe tarafından yamalı) Mart 2024)
- CVE-2024-35250 (CVSS puanı: 7,8) – Microsoft Windows Çekirdek Modu Sürücüsü, yerel bir saldırganın ayrıcalıkları yükseltmesine izin veren güvenilmeyen bir işaretçi referansı güvenlik açığı içeriyor (Microsoft tarafından yamalı) Haziran 2024)
CVE-2024-35250’yi keşfeden ve bildiren Tayvanlı siber güvenlik şirketi DEVCORE, Paylaşıldı Ağustos 2024’te, Microsoft Çekirdek Akış Hizmeti’ne (MSKSSRV) dayandığını belirten ek teknik ayrıntılar.
Şu anda eksikliklerin gerçek dünyadaki saldırılarda nasıl silah haline getirildiğine dair hiçbir ayrıntı yok, ancak kavram kanıtı (PoC) istismarları ikisi birden ile ilgili onlara kamusal alanda mevcuttur.
Aktif kötüye kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarının güvenliğini sağlamak için 6 Ocak 2025’e kadar gerekli düzeltmeleri uygulamaları tavsiye ediliyor.
FBI, HiatusRAT’ın Web Kameralarını ve DVR’leri Hedeflediği Konusunda Uyardı
Bu gelişme, Federal Soruşturma Bürosu’nun (FBI), ABD, Avustralya ve Kanada’da bulunan Hikvision, D-Link ve Dahua’dan Nesnelerin İnterneti (IoT) cihazlarını taramak için yönlendiriciler gibi ağ uç cihazlarının ötesine geçen HiatusRAT kampanyalarına ilişkin bir uyarısının ardından geldi. , Yeni Zelanda ve Birleşik Krallık.
“Oyuncular web kameralarını ve DVR’leri güvenlik açıkları açısından taradı; CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260ve satıcı tarafından sağlanan zayıf şifreler”, FBI söz konusu. “Bu güvenlik açıklarının çoğu henüz satıcılar tarafından giderilmedi.”
Mart 2024’te gözlemlenen kötü amaçlı etkinlik, adı verilen açık kaynaklı yardımcı programların kullanımını içeriyordu. İngram Ve Medusa tarama ve kaba kuvvetle kimlik doğrulama kırma için.
DrayTek Yönlendiricileri Fidye Yazılımı Kampanyasında Suistimal Edildi
Uyarılar aynı zamanda, PRODAFT tarafından paylaşılan istihbarata sahip Forescout Vedere Labs’in geçen hafta, tehdit aktörlerinin Ağustos ve Eylül 2023 arasında koordineli bir fidye yazılımı kampanyasının parçası olarak 20.000’den fazla DrayTek Vigor cihazını hedef almak için DrayTek yönlendiricilerindeki güvenlik kusurlarından yararlandığını ortaya çıkarmasıyla da geldi.
Şirket, “Operasyon şüpheli bir sıfır gün güvenlik açığından yararlanarak saldırganların ağlara sızmasına, kimlik bilgilerini çalmasına ve fidye yazılımı dağıtmasına olanak sağladı” dedi. söz konusukampanyanın “yapılandırılmış ve verimli bir iş akışı izleyen üç farklı tehdit aktörünü içerdiğini – Canavar Mantis (Ragnar Locker), Acımasız Mantis (PTI-288) ve LARVA-15 (Wazawaka) – içerdiğini ekledi.
Monstrous Mantis’in güvenlik açığını belirleyip kullandığına ve kimlik bilgilerini sistematik olarak topladığı, daha sonra bunların kırıldığı ve Ruthless Mantis ve LARVA-15 gibi güvenilir ortaklarla paylaşıldığına inanılıyor.
Saldırılar sonuçta işbirlikçilerin yatay hareket ve ayrıcalık artışı da dahil olmak üzere sömürü sonrası faaliyetler yürütmesine olanak tanıdı ve sonuçta RagnarLocker, Nokoyawa, RansomHouse ve Qilin gibi farklı fidye yazılımı ailelerinin konuşlandırılmasına yol açtı.
Şirket, “Monstrous Mantis, ilk erişim aşaması üzerinde özel kontrolü elinde tutarak istismarın kendisini engelledi” dedi. “Bu hesaplanmış yapı, izinsiz girişlerinden başarılı bir şekilde para kazanan fidye yazılımı operatörlerinin gelirlerinin bir yüzdesini paylaşmak zorunda kalması nedeniyle dolaylı olarak kar elde etmelerine olanak sağladı.”
Acımasız Mantis’in, Monstrous Mantis’ten elde ettiği erişimi diğer tehdit aktörlerine satarak LARVA-15’in ilk erişim komisyoncusu (IAB) olarak hareket ettiği, çoğunlukla İngiltere ve Hollanda’da bulunan en az 337 kuruluşun güvenliğini başarıyla aştığı tahmin ediliyor.
Saldırıların, DrayTek cihazlarındaki sıfır gün istismarından faydalandığından şüpheleniliyor. 22 yeni güvenlik açığı CVE-2020-8515 ve CVE-2024-41592’ye benzer kök nedenleri paylaşan.
Forescout, “Aynı kod tabanında bu tür güvenlik açıklarının tekrarlanması, kapsamlı kök neden analizi, değişken arama ve satıcı tarafından her güvenlik açığının açıklanmasının ardından sistematik kod incelemelerinin yapılmadığını gösteriyor.” dedi.
