Siber Muhbir

VulnCheck'in yeni bulgularına göre, Milesight'ın endüstriyel hücresel yönlendiricilerini etkileyen bir ciddiyet kusuru, gerçek dünya saldırılarında aktif olarak kullanılmış olabilir.

CVE-2023-43261 (CVSS puanı: 7.5) olarak izlenen güvenlik açığı, 5.32.32.35 sürümünden önce UR41X, UR35L, UR3, UR0 ve UR7 yönlendiricilerini etkileyen ve saldırganların httpd gibi günlüklere ve diğer hassas kimlik bilgilerine erişmesine olanak sağlayabilecek bir bilginin açığa çıkması durumu olarak tanımlandı.log

Sonuç olarak, bu, uzak ve kimliği doğrulanmamış saldırganların web arayüzüne yetkisiz erişim elde etmesine izin verebilir, böylece VPN sunucularını yapılandırmayı ve hatta güvenlik duvarı korumalarını bırakmayı mümkün kılabilir.

Sorunu keşfeden güvenlik araştırmacısı Bipin Jitiya, bu ayın başlarında yaptığı açıklamada, "Bazı yönlendiriciler SMS mesajlarının gönderilmesine ve alınmasına izin verdiği için bu güvenlik açığı daha da ciddi hale geliyor" dedi. "Bir saldırgan, dolandırıcılık faaliyetleri için bu işlevden yararlanabilir ve potansiyel olarak yönlendirici sahibine mali zarar verebilir."

Şimdi, VulnCheck'ten Jacob Baines'e göre, kusurun vahşi doğada küçük ölçekte istismar edilmiş olabileceğine dair kanıtlar var.

"5.61.39'u gözlemledik[.] 232, 2 Ekim 2023'te altı sisteme giriş yapmaya çalışıyor" dedi. "Etkilenen sistemlerin IP adresleri Fransa, Litvanya ve Norveç'e coğrafi olarak konumlandırılıyor. İlişkili görünmüyorlar ve hepsi varsayılan olmayan farklı kimlik bilgileri kullanıyor."

Altı makineden dördünde, tehdit aktörünün ilk denemede başarıyla kimlik doğrulaması yaptığı söyleniyor. Beşinci sistemde, oturum açma ikinci kez başarılı oldu ve altıncıda kimlik doğrulama başarısızlıkla sonuçlandı.

Saldırıyı gerçekleştirmek için kullanılan kimlik bilgileri, CVE-2023-43261'in silahlandırılmasına atıfta bulunarak httpd.log'den çıkarıldı. Bilinmeyen aktörün ayarları ve durum sayfalarını kontrol ettiği anlaşılsa da, başka kötü niyetli eylemlere dair bir kanıt yok.

VulnCheck'e göre, internete maruz kalan yaklaşık 5.500 Milesight yönlendirici varken, yalnızca yaklaşık %5'i savunmasız ürün yazılımı sürümlerini çalıştırıyor ve bu nedenle kusura karşı hassas.

Baines, "Bir Milesight Endüstriyel Hücresel Yönlendiriciniz varsa, sistemdeki tüm kimlik bilgilerinin tehlikeye atıldığını varsaymak ve sadece yenilerini oluşturmak ve internet üzerinden hiçbir arayüze erişilemediğinden emin olmak akıllıca olacaktır" dedi.

Titan MFT ve Titan SFTP Sunucularında Keşfedilen Altı Kusur

Açıklama, Rapid7'nin South River Technologies'in Titan MFT ve Titan SFTP sunucularında, istismar edilirse etkilenen ana bilgisayarlara uzaktan süper kullanıcı erişimine izin verebilecek çeşitli güvenlik kusurlarını ayrıntılı olarak açıkladığı sırada geldi.

Güvenlik açıklarının listesi aşağıdaki gibidir -

• CVE-2023-45685 - "Zip Slip" ile Kimliği Doğrulanmış Uzaktan Kod Yürütme
• CVE-2023-45686 - WebDAV Yolu Geçişi ile Kimliği Doğrulanmış Uzaktan Kod Yürütme
• CVE-2023-45687 - Uzaktan Yönetim Sunucusunda Oturum Sabitleme
• CVE-2023-45688 - FTP'de Yol Geçişi Yoluyla Bilgilerin Açığa Çıkması
• CVE-2023-45689 - Yönetici Arayüzünde Yol Geçişi Yoluyla Bilgilerin Açığa Çıkması
• CVE-2023-45690 - Dünya Çapında Okunabilir Veritabanı + Günlükler Aracılığıyla Bilgi Sızıntısı

Şirket, "Bu sorunların birçoğunun başarılı bir şekilde istismar edilmesi, bir saldırganın kök veya SİSTEM kullanıcısı olarak uzaktan kod yürütmesini sağlar" dedi. "Ancak, tüm sorunlar kimlik doğrulama sonrasıdır ve varsayılan olmayan yapılandırmalar gerektirir ve bu nedenle geniş ölçekli istismar görmeleri pek olası değildir."