Siber Muhbir

Cisco'nun ilk seti, kimliği doğrulanmamış, uzak bir saldırganın siteler arası istek sahteciliği (CSRF) saldırıları gerçekleştirmesine izin verebilecek Cisco Expressway Serisini etkileyen CVE-2024-20252 ve CVE-2024-20254 (CVSS puanı: 9.6) ve CVE-2024-20255 (CVSS puanı: 8.2) olmak üzere üç kusurdan oluşur.

İç güvenlik sınaması sırasında bulunan tüm sorunlar, bir saldırganın etkilenen kullanıcının ayrıcalık düzeyiyle rasgele eylemler gerçekleştirmesine izin verebilecek web tabanlı yönetim arabirimi için yetersiz CSRF korumalarından kaynaklanmaktadır.

Cisco, CVE-2024-20252 ve CVE-2024-20254 hakkında "Etkilenen kullanıcının yönetici ayrıcalıkları varsa, bu eylemler sistem yapılandırmasını değiştirmeyi ve yeni ayrıcalıklı hesaplar oluşturmayı içerebilir" dedi.

Öte yandan, yönetici ayrıcalıklarına sahip bir kullanıcıyı hedefleyen CVE-2024-20255'in başarılı bir şekilde kötüye kullanılması, tehdit aktörünün sistem yapılandırma ayarlarının üzerine yazmasına olanak tanıyarak hizmet reddi (DoS) durumuna neden olabilir.

İki kusur kümesi arasındaki bir diğer önemli fark, önceki ikisinin varsayılan yapılandırmada Cisco Expressway Serisi cihazları etkilerken, CVE-2024-20252'nin yalnızca küme veritabanı (CDB) API özelliği etkinleştirilmişse bunları etkilemesidir. Varsayılan olarak devre dışıdır.

Güvenlik açıkları için yamalar, Cisco Expressway Serisi Sürüm 14.3.4 ve 15.0.0'da mevcuttur.

Horizon3.ai araştırmacısı Zach Hanley'e göre, Fortinet ise FortiSIEM süpervizöründe daha önce açıklanan ve keyfi kod yürütülmesine neden olabilecek kritik bir kusur (CVE-2023-34992, CVSS puanı: 9.7) için atlamaların neler olduğunu ele almak için ikinci bir güncelleme turu yayınladı.

CVE-2024-23108 ve CVE-2024-23109 (CVSS puanları: 9.8) olarak izlenen kusurlar, "kimliği doğrulanmamış uzak bir saldırganın hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine izin verebilir."

Fortinet'in Kasım 2023'te CVE-2023-36553'ü (CVSS puanı: 9.3) kapatarak CVE-2023-34992'nin başka bir varyantını çözdüğünü belirtmekte fayda var. İki yeni güvenlik açığı aşağıdaki sürümlerde eklenmiştir/eklenecektir:

• FortiSIEM sürüm 7.1.2 veya üzeri
• FortiSIEM sürüm 7.2.0 veya üzeri (yakında çıkacak)
• FortiSIEM sürüm 7.0.3 veya üzeri (yakında çıkacak)
• FortiSIEM sürüm 6.7.9 veya üzeri (yakında çıkacak)
• FortiSIEM sürüm 6.6.5 veya üzeri (yakında çıkacak)
• FortiSIEM sürüm 6.5.3 veya üzeri (yakında çıkacak) ve
• FortiSIEM sürüm 6.4.4 veya üzeri (yakında çıkacak)

Üçlüyü tamamlayan, Aria Operations for Networks'te (eski adıyla vRealize Network Insight) orta ila önemli beş önem derecesi kusuru konusunda uyarıda bulunan VMware'dir.

• CVE-2024-22237 (CVSS puanı: 7.8) - Bir konsol kullanıcısının düzenli kök erişimi elde etmesine izin veren yerel ayrıcalık yükseltme güvenlik açığı

• CVE-2024-22238 (CVSS puanı: 6,4) - Yönetici ayrıcalıklarına sahip kötü amaçlı bir aktörün kullanıcı profili yapılandırmalarına kötü amaçlı kod eklemesine olanak tanıyan siteler arası betik çalıştırma (XSS) güvenlik açığı

• CVE-2024-22239 (CVSS puanı: 5.3) - Bir konsol kullanıcısının düzenli kabuk erişimi elde etmesine izin veren yerel ayrıcalık yükseltme güvenlik açığı

• CVE-2024-22240 (CVSS puanı: 4.9) - Yönetici ayrıcalıklarına sahip kötü amaçlı bir aktörün hassas bilgilere erişmesine izin veren yerel dosya okuma güvenlik açığı

• CVE-2024-22241 (CVSS puanı: 4.3) - Yönetici ayrıcalıklarına sahip kötü amaçlı bir aktörün kötü amaçlı kod eklemesine ve kullanıcı hesabını ele geçirmesine olanak tanıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı

Riskleri azaltmak için, VMware Aria Operations for Networks sürüm 6.x'in tüm kullanıcılarının 6.12.0 sürümüne yükseltmeleri önerilir.

Cisco, Fortinet ve VMware kusurları söz konusu olduğunda istismarın geçmişi göz önüne alındığında, yama, kuruluşların eksiklikleri gidermek için atması gereken gerekli ve çok önemli bir ilk adımdır.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.