Siber Muhbir

Ajans Pazartesi günü, aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna beş güvenlik açığı ekledi -

• CVE-2023-36844 (CVSS puanı: 5.3) - Juniper Junos OS EX Serisi PHP Harici Değişken Değiştirme Güvenlik Açığı
• CVE-2023-36845 (CVSS puanı: 5.3) - Juniper Junos OS EX Serisi ve SRX Serisi PHP Harici Değişken Değiştirme Güvenlik Açığı
• CVE-2023-36846 (CVSS puanı: 5,3) - Juniper Junos OS SRX Serisi Kritik İşlev Güvenlik Açığı için Kimlik Doğrulaması Eksik
• CVE-2023-36847 (CVSS puanı: 5,3) - Juniper Junos OS EX Serisinde Kritik İşlev Güvenlik Açığı için Kimlik Doğrulaması Eksik
• CVE-2023-36851 (CVSS puanı: 5,3) - Juniper Junos OS SRX Serisi Kritik İşlev Güvenlik Açığı için Kimlik Doğrulaması Eksik

Juniper'a göre güvenlik açıkları, yamalanmamış cihazlarda uzaktan kod yürütülmesini sağlamak için bir istismar zincirine dönüştürülebilir. Listeye ayrıca, SRX yükleme kusurunun bir çeşidi olarak tanımlanan CVE-2023-36851 de eklendi.

Juniper, 8 Kasım 2023'te danışma belgesinde yaptığı bir güncellemede, "artık bu güvenlik açıklarından başarılı bir şekilde yararlanıldığının farkında olduğunu" söyledi ve müşterilerin derhal geçerli olmak üzere en son sürümlere güncelleme yapmalarını tavsiye etti.

İstismarın doğasını çevreleyen ayrıntılar şu anda bilinmemektedir.

Ayrı bir uyarıda CISA, Royal fidye yazılımı çetesinin, "Royal'e benzer bir dizi tanımlanmış kodlama özelliğini" paylaşması nedeniyle BlackSuit olarak yeniden markalaşabileceği konusunda da uyardı.

Gelişme, Cyfirma'nın kritik güvenlik açıkları için istismarların darknet forumlarında ve Telegram kanallarında satışa sunulduğunu açıklamasının ardından geldi.

Siber güvenlik firması, "Bu güvenlik açıkları, önemli güvenlik riskleri oluşturan ayrıcalık yükseltme, kimlik doğrulama atlama, SQL enjeksiyonu ve uzaktan kod yürütmeyi kapsıyor" dedi ve ekledi: "Fidye yazılımı grupları, çok sayıda kurbanı tehlikeye atmak için yeraltı forumlarında aktif olarak sıfır gün güvenlik açıkları arıyor."

Ayrıca, Huntress'in tehdit aktörlerinin, bir eczane yönetim yazılımı sağlayıcısı olan Transaction Data Systems tarafından ilk erişim için kullanılan yaygın olarak kullanılan ScreenConnect uzaktan erişim aracını kötüye kullanarak birden fazla sağlık kuruluşunu hedef aldığına dair ifşaatlarını da takip ediyor.

Huntress, "Tehdit aktörü, ortamlara kalıcı erişim sağlamak için ScreenConnect veya AnyDesk örnekleri gibi ek uzaktan erişim araçları yüklemek de dahil olmak üzere birkaç adım atmaya devam etti" dedi.