Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırılarda yararlanılan hatalar listesine bir Bitbucket Sunucusu RCE ve iki Microsoft Exchange sıfır günü dahil olmak üzere üç güvenlik açığı daha ekledi.
CISA’lar Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğu, Microsoft’a göre artık sınırlı, hedefli saldırılarda yararlanılan iki Microsoft Exchange sıfır günü (CVE-2022-41040 ve CVE-2022-41082) içeriyor.
Microsoft, aktif olarak yararlanılan bu hata çiftini gidermek için henüz güvenlik güncellemeleri yayınlamadı. paylaşılan hafifletme önlemleri müşterilerin, saldırı girişimlerini engelleyecek bir IIS sunucusu engelleme kuralı eklemesini isteme.
“Microsoft, halihazırda dağıtılan bu algılamaları kötü amaçlı etkinliklere karşı da izliyor ve müşterileri korumak için gerekli müdahale eylemlerini yapacak. [..] Bir düzeltmeyi yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz,” dedi Microsoft bugün erken saatlerde.
Bugün KEV listesine eklenen üçüncü güvenlik açığı CISA (CVE-2022-36804 olarak izlenir) kritik önemdedir Atlassian’ın Bitbucket Sunucusu ve Veri Merkezinde komut enjeksiyon güvenlik açığıherkese açık konsept istismar kodu kanıtı ile.
Saldırganlar, kötü niyetli HTTP istekleri aracılığıyla kusurdan yararlanarak uzaktan kod yürütme elde edebilir. Yine de, genel bir havuza erişimleri olmalı veya özel bir havuza okuma izinleri olmalıdır.
Bu RCE güvenlik açığı, 7.0.0 ve 8.3.0’a kadar dahil olmak üzere 6.10.17’den sonraki tüm Bitbucket Sunucu ve Veri Merkezi sürümlerini etkiler.
BinaryEdge ve GreyNoise, saldırganların vahşi doğada CVE-2022-36804 taraması yaptığını ve bunlardan yararlanmaya çalıştığını doğruladı [1, 2] en az 20 Eylül’den beri.
biz @SolveCyberRisk @binaryedgeio yeni duyurulan CVE-2022-36804’ün aktif olarak taranmasını ve istismar edilmesini gözlemliyoruz – Bu CVE, Atlassian Bitbucket’i etkiliyor, yamayı deneyin: https://t.co/YYG1qY9uUg pic.twitter.com/Jy12W9ZB3E
– Tiago Henriques (@Balgan) 23 Eylül 2022
Federal kurumlara hafifletme emri verildi
Tüm Federal Sivil İdari Şube Ajansları (FCEB) ajansları, CISA’nın KEV kataloğuna eklendikten sonra aktif olarak yararlanılan bu üç hata için düzeltme ekleri veya azaltma önlemleri uygular. bağlayıcı operasyonel yönerge (BOD 22-01) Kasım ayından itibaren.
Federal kurumlara, istismar girişimlerinin engellenmesini sağlamak için 21 Ekim’e kadar üç hafta süre verildi.
ABD siber güvenlik kurumu, BOD 22-01 yalnızca ABD FCEB ajansları için geçerli olmasına rağmen, dünya çapındaki tüm özel ve kamu sektörü kuruluşlarını bu güvenlik açıklarını düzeltmeye öncelik vermeye şiddetle çağırdı.
Yamaları en kısa sürede uygulamak, potansiyel saldırganların ihlal girişimlerinde hedefleyebilecekleri saldırı yüzeyini azaltmalarına yardımcı olacaktır.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.” açıkladı Perşembe günü.
BOD 22-01 bağlayıcı direktifin geçen yıl yayınlanmasından bu yana, CISA saldırılarda kullanılan hata kataloğuna 800’den fazla güvenlik açığı eklerken, federal kurumların bunları daha sıkı bir programda ele almasını gerektiriyor.