11 Mart 2025Ravie LakshmananICS Güvenliği / Güvenlik Açığı

Tayvanlı şirket Moxa, bir saldırganın kimlik doğrulama garantilerini atlamasına izin verebilecek PT anahtarlarını etkileyen kritik bir güvenlik kusurunu ele almak için bir güvenlik güncellemesi yayınladı.

Güvenlik açığı, CVE-2024-12297maksimum 10.0 üzerinden 9.2 CVSS V4 skoru atandı.

“Çoklu Moxa PT anahtarları, yetkilendirme mekanizmalarındaki kusurlar nedeniyle bir kimlik doğrulama baypasına karşı savunmasızdır.” söz konusu Geçen hafta yayınlanan bir danışmanlık.

“İstemci tarafı ve arka uç sunucu doğrulamasına rağmen, saldırganlar uygulanmasında zayıflıklardan yararlanabilir. Bu güvenlik açığı, kaba kuvvet saldırılarının geçerli kimlik bilgilerini veya MD5 çarpışma saldırılarını tahmin etmesini sağlayabilir, bu da cihazın güvenliğini tehlikeye atar.”

Korsanın başarılı bir şekilde kullanılması, başka bir deyişle, bir kimlik doğrulama bypass’a yol açabilir ve bir saldırganın hassas konfigürasyonlara yetkisiz erişim kazanmasına veya hizmetleri bozmasına izin verebilir.

Kusur aşağıdaki sürümleri etkiler –

• PT-508 Serisi (ürün yazılımı sürüm 3.8 ve önceki)
• PT-510 Serisi (ürün yazılımı sürüm 3.8 ve önceki)
• PT-7528 Serisi (Firmware sürüm 5.0 ve önceki)
• PT-7728 Serisi (Firmware sürüm 3.9 ve önceki)
• PT-7828 Serisi (Firmware sürüm 4.0 ve önceki)
• PT-G503 Serisi (ürün yazılımı sürüm 5.3 ve önceki)
• PT-G510 Serisi (ürün yazılımı sürüm 6.5 ve önceki)
• PT-G7728 Serisi (ürün yazılımı sürüm 6.5 ve önceki) ve
• PT-G7828 Serisi (Firmware sürüm 6.5 ve önceki)

Güvenlik açığı için yamalar, Moxa Teknik Desteği takım. Şirket, güvenlik açığını bildirmek için Moskova merkezli Rosatom Otomatik Kontrol Sistemleri’nden (RASU) Artem Turyshev’e kredi verdi.

Dışarıda en son düzeltmeleri uygulayın, etkilenen ürünleri kullanan şirketlerin, güvenlik duvarlarını veya erişim kontrol listelerini (ACL’ler) kullanarak ağ erişimini kısıtlaması, ağ segmentasyonunu zorlamak, internete doğrudan maruz kalmayı en aza indirmek, kritik sistemlere erişmek için çok faktörlü kimlik doğrulama (MFA) uygulamak, olay günlüğünü ve izlemek için ağ trafiği ve cihaz davranışını uygulamak için uygulamak.

Moxa’yı belirtmek gerekir çözülmüş Ethernet Switch EDS-508A serisinde aynı güvenlik açığı, 1.11 ve daha önce ürün yazılımı sürümünü çalıştıran 2025 yılının ortalarında.

Geliştirme, Moxa’nın hücresel yönlendiricilerini, güvenli yönlendiricilerini ve ağ güvenlik cihazlarını (CVE-2024-9138 ve CVE-2024-9140) etkileyen iki güvenlik açığı için yamalar çıkarmasının iki aydan biraz fazla bir süre içinde geliyor.

Geçen ay da adil çoklu yüksek yüzlü kusurlar etkileyen çeşitli anahtarlar (CVE-2024-7695, CVE-2024-9404 ve CVE-2024-9137) Bir hizmet reddi (DOS) saldırısı veya komut yürütme ile sonuçlanabilecek.

Mitel’in MiCollab birleşik iletişim ve işbirliği (UCC) platformundaki iki yeni güvenlik açığı, büyük miktarda kurumsal verinin açığa çıkmasına yardımcı olabilir.

MiCollab, mobil cihazlarda ve masaüstü bilgisayarlarda anlık mesajlaşmayı, SMS’i, telefon çağrılarını, görüntülü aramaları, dosya paylaşımını, uzak masaüstü paylaşımını, yani yüksek sesle konuşmak dışında bir kuruluş içinde gerçekleşen her türlü işbirliğini birleştiren çapraz platformlu bir uygulamadır. Kuruluşlar, günlük iş operasyonlarında ve her zaman büyük miktarda kişisel verileri ve iletişim verilerini barındırmak için buna büyük ölçüde güveniyor.

Bu yılın başlarında keşfedildiğinde CVE-2024-35286’yı bu kadar elverişsiz kılan şey de buydu. Kullanıcı girişi temizleme eksikliğinden kaynaklanan bu SQL enjeksiyon güvenlik açığı, saldırganların önemli iş verilerine erişmesine ve veritabanı ve yönetim işlemlerini istedikleri zaman yürütmesine nasıl izin verdiği açısından Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) “kritik” 9,8 puan aldı. Ancak bir sorun da vardı: Hazinenin bulunduğu savunmasız son noktaya ulaşmak için özel bir konfigürasyon gerekiyordu.

Yeni bir blog yazısında watchTowr araştırmacıları, açıklanmayan yapılandırmaya atıfta bulunarak “Hiçbir mantıklı yönetici bunu yapmaz”, dolayısıyla güvenilir kuruluşlara yönelik riskin düşük olduğunu belirtti. Ancak araştırmacılar keşfetmeye devam etti yol geçiş güvenlik açığı MiCollab’da – üçüncü, rastgele dosya okuma güvenlik açığından bahsetmeye bile gerek yok – bu da tek savunmayı tartışma konusu haline getirdi.

Yeni MiCollab İstismar Zinciri

Altı yıl önce Black Hat’te Orange Tsai takma adını kullanan bir araştırmacı, Web uygulamalarının nasıl ele alındığıyla ilgili sorunları açığa çıkaran bir araştırma sundu. yol normalizasyonu. Saldırganlar, URL’lerde özel karakterler kullanarak Web sunucularını kandırarak erişememeleri gereken dosyalara ve dizinlere erişmelerini sağlayabilir.

WatchTowr’dan araştırmacılar, CVE-2024-35286 ile uğraşırken bu mantığı teste tabi tuttu. MiCollab için 2009’da Web’de yayınlanan bir Apache yapılandırmasıyla çalışırken, savunmasız uç noktaya (NuPoint’ten “/npm-admin”) giden yolda tüm engelleri aşmak için “..;/” girişini kullanabileceklerini keşfettiler. Platformun Birleşik Mesajlaşma (UM) bileşeni — kimlik doğrulama gerektirmez. Bu yığılmış güvenlik açığı CVE-2024-41713 olarak kabul edildi ve 7,5 gibi “yüksek” bir CVSS puanı verildi.

CVE-2024-41713, eski CVE-2024-35286’ya yeni bir hayat verdi ve ardından araştırmacılar, bir CVE etiketi veya CVSS puanı atanmamış, rastgele dosya okumaya izin veren başka bir sıfır gün keşfetti. Üçü bir arada en iyi şekilde çalışır: İlk erişimi kolaylaştıran CVE-2024-41713, sistemdeki dosyalara görünürlük sağlayan rastgele dosya okuma sorunu ve bunlar üzerinde herhangi bir sayıda kötü amaçlı işlemi mümkün kılan CVE-2024-35286. WatchTowr ise bir yayın yayınladı. kavram kanıtından (PoC) yararlanma ilk ikisini birleştiren GitHub’a.

Qualys Tehdit Araştırma Birimi güvenlik araştırması müdürü Mayuresh Dani, “Kamu kaynaklarına göre, kamuya açık 10.000’den fazla Mitel MiCollab cihazı var” diyor. “NuPoint Unified Messaging’in (NPM) etkinleştirilmesi koşuluyla, uzak bir tehdit aktörü CVE-2024-41713’ü kullanabilir ve [file-read] Etkilenen cihazlardaki rastgele dosyalara erişmek için sıfır gün.”

Kavram kanıtlama kodunun yaptığı şeyin de tam olarak bu olduğunu ekliyor. “Bunu, npm-pwg dizinine erişerek ve normalde sistem raporları oluşturmak için kullanılan Uzlaştırma Sihirbazı’nı çağırarak yapıyor. Saldırgan, cihazda kimlik doğrulama bilgilerini içeren hassas dosyaları ele geçirirse, bu, cihaza erişim sağlamak için kullanılabilir. cihaz ve muhtemelen savunmasız örnek üzerinden akan konuşmaları gözetliyor.”

Kurumsal İletişimleri Hacklemek

Bir çalışanın gelen kutusuna patronundan bir e-posta gelir. “Merhaba, lütfen yüklenicimize şu adresten bir ödeme gönderin: [bank account number] Derhal.” Çalışanlara bu tür dolandırıcılıkları tespit etmek için söylenen ilk şey, e-postanın meşruiyetini doğrulamak için patronlarını aramaktır. Peki ya telefon sistemleri ihlal edilirse?

Critical Start siber tehdit araştırması kıdemli yöneticisi Callie Guenther, “Mitel MiCollab’daki güvenlik açıkları, saldırganların hassas sistemlere erişim sağlamak için iletişim platformlarını hedef alma eğiliminin arttığını gösteriyor” diyor. Saldırganlar, bir kuruluşun merkezi iletişim hatlarını ele geçirmenin veya engellemenin, çalışanları gözetlemenin veya genel bir hasara yol açmanın yanı sıra, herhangi bir sayıda başka türde siber saldırıyı kolaylaştırmak için MiCollab gibi bir platformu da kullanabilir. “Geçmişte de benzer konulardan yararlanılmıştı. 2022 Mitel MiVoice Connect güvenlik açığı (CVE-2022-29499)fidye yazılımı gruplarının Web kabuklarını dağıtmak ve ağlar arasında yanal olarak hareket etmek için kullandığı .

Her iki CVE’ye de 9 Ekim itibarıyla yama uygulandı. Mitel, keyfi dosya okuma hatasını kabul etti, ancak yayınlandığı sırada henüz yama yapmamıştı. Ancak bu son sorundan yararlanmak için kimlik doğrulaması gerektiğinden, MiCollab’ın güncel olduğu kuruluşlar çoğunlukla kapsanmaktadır.

Savaş Tanrısı RagnarokOyunun PC’de piyasaya sürülmesi, hiçbir çevrimiçi özelliği olmamasına rağmen PlayStation Network (PSN) hesabı gerektirmesi nedeniyle son birkaç gündür tartışmaların odağındaydı. Piyasaya sürülmesinden hemen sonra, bu gereksinimi atlayan bir mod, Nexus Modlarında öne çıktı, ancak yaratıcı, modun popülaritesi göz önüne alındığında Sony’nin misilleme yapması korkusunu gerekçe göstererek onu geri çekti. Modun yaratıcısı ayrıca mod için GitHub sayfasını da indirdi.

Yaratıcı, “Kısacası: bu benim kişisel kararımdı, çünkü mod çok popüler hale geldi ve insanlar onu Steam forumlarında tanıtmaya başladı ve bu da tonlarca ilgi topladı” dedi. IGN’e yapılan açıklama. “Kod hafızadaki hiçbir ürüne dokunmamış olsa da, Sony tarafından gelebilecek olası tehditlerden kaçınmak istedim. Asla bilemezsiniz ve bu benim için gerçekten gri bir alan.

2022’nin en çok eleştirilen oyunlarından biri olmasına rağmen Savaş Tanrısı Ragnarok şu anda Steam’de Çoğunlukla Olumlu inceleme statüsünde bulunuyor. Olumsuz yorumların %29’unun büyük çoğunluğu, PSN hesabının gerekliliğini bir sorun olarak belirtiyor. Sony, ilk olarak Mayıs ayında PC’de yayınlanan oyunlarıyla birlikte PSN hesabı zorunluluğunu getirdi. Cehennem dalgıçları 2. Oyun, inceleme bombardımanına uğradı ve Sony, karar konusunda rotasını değiştirmeye zorlandı.

Yakın zamanda Sony piyasaya çıktı Tsushima’nın Hayaleti PC’de de bir PSN hesabı gerektirir. Ancak bu oyunun Efsaneler modu aracılığıyla çevrimiçi özellikleri vardır. Savaş Tanrısı Ragnarok Öte yandan, herhangi bir çok oyunculu mod veya çevrimiçi özellik içermiyor. Yeniden düzenlenmiş sürümü gibi gelecek sürümler Şafağa kadar, çevrimiçi özelliklerin olmamasına rağmen bir PSN hesabı da gerektirecektir.

Pek çok kişinin işe yaramaz bir ek yazılım parçası olarak gördüğü şeyin dışında, PSN gereksinimleri aynı zamanda kullanıcıların Sony tarafından yayınlanan oyunları oynamasını da engelliyor. PSN, Afrika kıtasının çoğu dahil olmak üzere pek çok ülkede mevcut değildir. Bu, bazı oyuncuların orijinali satın alabileceği anlamına geliyor Savaş Tanrısı PC’de yayınlandığında oynayamayacak Savaş Tanrısı Ragnarok PSN gereksinimi nedeniyle.

Bulmak zor olmasına rağmen NoPSSDK modunun bir sürümü hala mevcuttur. Nexus modlarında canlı yayın. Ancak hizmet, arşivlenmiş bir dosya olarak artık bakımda desteklenmediği konusunda uyarıyor; bu nedenle, riski size ait olmak üzere kullanın.