ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ürünleri etkileyen çok sayıda güvenlik açığı ekledi. Zyxel, Kuzey Izgara Proself, ProjectSendVe SiberPanel Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) vahşi doğada aktif sömürünün kanıtlarını gösteren katalog.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-51378 (CVSS puanı: 10.0) – Kimlik doğrulamanın atlanmasına ve statusfile özelliğindeki kabuk metakarakterlerini kullanarak rastgele komutların yürütülmesine izin veren hatalı bir varsayılan izin güvenlik açığı
- CVE-2023-45727 (CVSS puanı: 7,5) – Uzaktaki, kimliği doğrulanmamış bir saldırganın XXE saldırısı gerçekleştirmesine olanak verebilecek XML Harici Varlık (XXE) referans güvenlik açığının uygunsuz şekilde kısıtlanması
- CVE-2024-11680 (CVSS puanı: 9,8) – Uzaktaki, kimliği doğrulanmamış bir saldırganın hesap oluşturmasına, web kabukları yüklemesine ve kötü amaçlı JavaScript yerleştirmesine olanak tanıyan uygunsuz bir kimlik doğrulama güvenlik açığı
- CVE-2024-11667 (CVSS puanı: 7,5) – Web yönetimi arayüzünde, bir saldırganın hazırlanmış bir URL aracılığıyla dosya indirmesine veya yüklemesine izin verebilecek bir yol geçiş güvenlik açığı
CVE-2023-45727’nin KEV kataloğuna dahil edilmesi, 19 Kasım 2024’te yayınlanan ve aktif istismarını Earth Kasha (diğer adıyla MirrorFace) adlı Çin bağlantılı bir siber casusluk grubuyla ilişkilendiren Trend Micro raporunun ardından geldi.
Daha sonra geçen hafta, siber güvenlik sağlayıcısı VulnCheck, kötü niyetli aktörlerin, kullanım sonrası yükleri düşürmek için Eylül 2024 gibi erken bir tarihte CVE-2024-11680’i silah haline getirmeye çalıştıklarını ortaya çıkardı.
Kötüye kullanımı CVE-2024-51378 ve CVE-2024-11667 ise PSAUX ve Helldown gibi çeşitli fidye yazılımı kampanyalarına atfediliyor. Sayımlar Ve Sekoia.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarının güvenliğini sağlamak için belirlenen güvenlik açıklarını 25 Aralık 2024’e kadar düzeltmeleri öneriliyor.
Saldırı Altındaki IO DATA Yönlendiricilerinde Çoklu Hatalar
Geliştirme JPCERT/CC olarak geliyor uyardı IO DATA yönlendiricileri UD-LT1 ve UD-LT1/EX’teki üç güvenlik açığının bilinmeyen tehdit aktörleri tarafından istismar edildiği belirtiliyor.
- CVE-2024-45841 (CVSS puanı: 6,5) – Konuk hesabı erişimi olan bir saldırganın, kimlik bilgilerini içerenler de dahil olmak üzere hassas dosyaları okumasına olanak tanıyan, kritik kaynak güvenlik açığı için yanlış izin ataması
- CVE-2024-47133 (CVSS puanı: 7,2) – Yönetici hesabıyla oturum açmış bir kullanıcının rastgele komutlar yürütmesine olanak tanıyan bir işletim sistemi (OS) komut ekleme güvenlik açığı
- CVE-2024-52564 (CVSS puanı: 7,5) – Uzaktaki bir saldırganın güvenlik duvarı işlevini devre dışı bırakmasına ve rastgele işletim sistemi komutları yürütmesine veya yönlendirici yapılandırmasını değiştirmesine olanak tanıyan belgelenmemiş özellikler güvenlik açığının dahil edilmesi
CVE-2024-52564 yamaları donanım yazılımı Ver2.1.9 ile kullanıma sunulmuş olsa da kalan iki eksikliğe yönelik düzeltmelerin 18 Aralık 2024’e (Ver2.2.0) kadar yayınlanması beklenmiyor.
Bu arada Japon şirketi danışmanlık Müşterilerin uzaktan yönetimi devre dışı bırakarak, varsayılan konuk kullanıcı şifrelerini değiştirerek ve yönetici şifrelerinin tahmin edilmesinin kolay olmamasını sağlayarak ayarlar ekranının internete maruz kalmasını sınırlaması.
