ABD Siber Güvenlik Ajansı CISA, Perşembe günü Sophos, Oracle ve Microsoft ürün hatalarını Bilinen Kötüye Kullanılan Zafiyetler (KEV) kataloğuna ekledi.
Ajansın saldırılarda kötüye kullanıldığını belirttiği Sophos hatası CVE-2023-1671’dir; bu, kimliği doğrulanmamış bir saldırganın keyfi kod yürütme için kullanabileceği kritik bir Sophos Web Appliance zafiyetidir.
Sophos, Nisan ayında yamaları duyurdu ve etkilenen cihazın 20 Temmuz 2023’te ömrünü tamamlayacağını müşterilere bildirdi.
Tehtit aktörlerinin Sophos ürün zafiyetlerini saldırılarında kullanması olağan değildir. Bazı saldırılar Çin menşeli bir APT’ye bağlanmış ve Güney Asya’daki hükümetleri ve diğer kuruluşları hedef almıştır.
CISA’nın KEV listesi şu anda 2020 ve 2022’de bulunan dört diğer Sophos ürün zafiyetini içermektedir.
Perşembe günü CISA’nın KEV listesine eklenen ikinci zafiyet, kimliği doğrulanmamış saldırganların etkilenen sunucuların kontrolünü ele geçirebileceği bir Oracle WebLogic Server hatası olan CVE-2020-2551’dir.
CVE-2020-2551, tehdit istihbarat şirketi EclecticIQ tarafından Haziran ayının başlarında yayınlanan bir blog gönderisine göre, Çinli bir tehdit aktörü tarafından başlangıç saldırısı için hedeflenen dört zafiyetten biridir. Bu saldırılar, güvenlik firması tarafından tespit edilen, Tayvan’daki hükümet ve kritik altyapı kuruluşlarını hedef alan saldırılardır.
Yazının yazıldığı sırada CISA tarafından yayınlanan bir uyarıda CVE-2020-2551 yanlışlıkla CVE-2023-2551 olarak referans gösterilmektedir. Doğru CVE tanımlayıcısı KEV kataloğunda kullanılmış olsa da uyarıda kullanılmamıştır.
CISA, Perşembe günü ayrıca Windows’un Mark of the Web (MotW) güvenlik özelliğini atlamak için kullanılabilen CVE-2023-36584’ü KEV kataloğuna ekledi.
Bu zafiyetin detayları, Palo Alto Networks tarafından 13 Kasım’da açıklanan bir güvenlik açığından kaynaklanmaktadır. Araştırmacılar, farklı bir MotW atlatma hatası olan CVE-2023-36884’ü kullanan Rusya ile ilişkilendirilmiş bir APT tarafından başlatılan saldırıları analiz ederken CVE-2023-36584’ü belirledi.
Ancak, Palo Alto Networks’ün blog gönderisi CVE-2023-36584’ün de kötüye kullanıldığını net bir şekilde belirtmemektedir. Ayrıca, Microsoft’un 10 Ekim tarihli bildirisi, zafiyetin kötüye kullanılmadığını belirtmektedir.
CISA’nın CVE-2023-36884 için başka bir kötüye kullanım kanıtına sahip olup olmadığı veya Palo Alto Networks’ün blog gönderisini yanlış yorumlayıp yorumlamadığı belirsizdir. Ajans, yalnızca güvenilir kötüye kullanım kanıtlarına sahipse zafiyetleri KEV kataloğuna eklediğini söylemekle birlikte, zaman zaman CVE’leri listeden kaldırabilmektedir.
GÜNCELLEME: Sophos, şu açıklamayı yaptı:
“Altı aydan fazla bir süre önce, 4 Nisan 2023’te, tüm Sophos Web Cihazlarına otomatik bir yama yayınladık, Trust Center’daki Güvenlik Danışmanımızda belirtildiği gibi, ve Temmuz 2023’te Sophos Web Cihazını planlandığı gibi sona erdirdik. CISA’nın otomatik yama kapatılmış ve/veya sürekli güncellemelerimizi kaçıran küçük sayıdaki Sophos Web Cihazı kullanıcısı için bildirimine teşekkür ederiz ve bunları etkili ağ güvenliği için Sophos Güvenlik Duvarı’na yükseltmelerini öneririz.”
Palo Alto Networks, SecurityWeek’e yeni MotW atlatma zafiyetinin kötüye kullanılmadığını doğrulamıştır.
kaynak: SecurityWeek