CISA, Fortinet, Ivanti ve Nice Ürünlerindeki Kusurların Aktif Olarak Kullanılmasına İlişkin Uyarılar

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü, aktif istismar kanıtlarına atıfta bulunarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı yerleştirdi.

Eklenen güvenlik açıkları aşağıdaki gibidir -

CVE-2023-48788 (CVSS puanı: 9,3) - Fortinet FortiClient EMS SQL Ekleme Güvenlik Açığı
CVE-2021-44529 (CVSS puanı: 9,8) - Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) Kod Ekleme Güvenlik Açığı
CVE-2019-7256 (CVSS puanı: 10.0) - Güzel Doğrusal eMerge E3 Serisi İşletim Sistemi Komut Ekleme Güvenlik Açığı

Fortinet FortiClient EMS'yi etkileyen eksiklik, bu ayın başlarında ortaya çıktı ve şirket, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler aracılığıyla yetkisiz kod veya komutlar yürütmesine izin verebilecek bir kusur olarak tanımladı.

Fortinet o zamandan beri, saldırıların doğasıyla ilgili başka hiçbir ayrıntı mevcut olmasa da, vahşi doğada istismar edildiğini doğrulamak için tavsiyesini revize etti.

CVE-2021-44529 ise Ivanti Endpoint Manager Cloud Service Appliance'ta (EPM CSA) kimliği doğrulanmamış bir kullanıcının sınırlı izinlerle kötü amaçlı kod yürütmesine izin veren bir kod enjeksiyon güvenlik açığıyla ilgilidir.

Güvenlik araştırmacısı Ron Bowes tarafından yayınlanan son araştırmalar, kusurun şu anda durdurulan csrf-magic adlı açık kaynaklı bir projede kasıtlı bir arka kapı olarak tanıtılmış olabileceğini gösteriyor. Sorun, Aralık 2021'de düzeltilmeden önce en az 2014'ten beri var.

Bir saldırganın Nice Linear eMerge E3 Serisi erişim denetleyicilerinde uzaktan kod yürütmesine izin veren CVE-2019-7256, Şubat 2020 gibi erken bir tarihte tehdit aktörleri tarafından istismar edildi.

Kusur, diğer 11 hatanın yanı sıra, bu ayın başlarında Nice (eski adıyla Nortek) tarafından ele alındı. Bununla birlikte, bu güvenlik açıkları ilk olarak Mayıs 2019'da güvenlik araştırmacısı Gjoko Krstic tarafından açıklandı.

Üç kusurun aktif olarak kullanılması ışığında, federal kurumların satıcı tarafından sağlanan azaltıcı etkenleri 15 Nisan 2024'e kadar uygulaması gerekiyor.

Gelişme, CISA ve Federal Soruşturma Bürosu'nun (FBI) ortak bir uyarı yayınlayarak yazılım üreticilerini SQL enjeksiyon kusurlarını azaltmak için adımlar atmaya çağırmasıyla geldi.

Danışma belgesi, Progress Software'in MOVEit Transfer'indeki kritik bir SQL enjeksiyon güvenlik açığı olan CVE-2023-34362'nin Cl0p fidye yazılımı çetesi (diğer adıyla Lace Tempest) tarafından binlerce kuruluşu ihlal etmek için istismar edildiğini özellikle vurguladı.

Ajanslar, "Son yirmi yılda SQLi güvenlik açıklarının yaygın olarak bilinmesine ve belgelenmesine rağmen, etkili risk azaltmaların mevcudiyeti ile birlikte, yazılım üreticileri bu kusurlu ürünler geliştirmeye devam ediyor ve bu da birçok müşteriyi riske atıyor" dedi.

Tüm tehdit sınıfını ortadan kaldırmak için, "geliştiriciler, SQL kodunu kullanıcı tarafından sağlanan verilerden ayırmak için hazırlanmış ifadelerle parametreli sorgular kullanmalıdır", böylece sistemin girişi yürütülebilir kod olarak ele almamasını ve bir SQL ifadesi olarak yorumlanmamasını sağlar.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.