Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü federal sivil kurumlara, devam eden saldırılarda istismar edilen kritik bir Sophos güvenlik duvarı hatasını ve diğer yedi güvenlik açığını önümüzdeki üç hafta içinde düzeltmelerini emretti.
Olarak Sophos ortaya çıktı neredeyse bir hafta önce, CVE-2022-1040 bug, saldırganların Kullanıcı Portalı veya Webadmin arabirimi aracılığıyla kimlik doğrulamasını atlamasına ve uzaktan rastgele kod yürütmesine olanak tanır.
İki gün sonra, siber güvenlik satıcısı, küçük bir Güney Asya kuruluşunu uyardığını söyleyerek güvenlik danışmanlığını değiştirdi. CVE-2022-1040 açıkları ile hedeflendi.
CISA ayrıca federal kurumlara, Trend Micro Apex Central ürün yönetim konsolunda uzaktan kod yürütme saldırılarında kötüye kullanılabilecek yüksek önemde rastgele dosya yükleme güvenlik açığını (CVE-2022-26871) düzeltmelerini emretti.
Salı günü, Trend Micro dedim vahşi doğada bu güvenlik açığından “en az bir aktif potansiyel istismar girişimi” gözlemledi.
CISA, güvenlik açığına altı güvenlik açığı daha ekledi. Bilinen Sömürülen Güvenlik Açıkları Kataloğu bugün, hepsi devam eden saldırılarda da istismar edildi.
| CVE | Güvenlik Açığı Adı | Bitiş tarihi |
| CVE-2022-26871 | Trend Micro Apex Merkezi Keyfi Dosya Yükleme Güvenlik Açığı | 2022-04-21 |
| CVE-2022-1040 | Sophos Güvenlik Duvarı Kimlik Doğrulaması Güvenlik Açığını Atlama | 2022-04-21 |
| CVE-2021-34484 | Microsoft Windows Kullanıcı Profili Hizmeti Ayrıcalığı Yükseltme | 2022-04-21 |
| CVE-2021-28799 | QNAP NAS Uygunsuz Yetkilendirme Güvenlik Açığı | 2022-04-21 |
| CVE-2021-21551 | Dell dbutil Sürücü Yetersiz Erişim Denetimi Güvenlik Açığı | 2022-04-21 |
| CVE-2018-10562 | Dasan GPON Yönlendiriciler Komut Enjeksiyon Güvenlik Açığı | 2022-04-21 |
| CVE-2018-10561 | Dasan GPON Yönlendiriciler Kimlik Doğrulaması Güvenlik Açığını Atlama | 2022-04-21 |
| CVE-2014-6324 | Microsoft Windows Kerberos KDC Ayrıcalık Yükseltme | 2022-04-21 |
Kasım 2021’e göre bağlayıcı operasyonel yönerge (BOD 22-01)Federal Sivil Yürütme Organları (FCEB) ajansları, sistemlerini bu güvenlik kusurlarına karşı güvenceye almalı ve CISA, bugün eklenenleri yamalamak için 21 Nisan’a kadar süre tanımalıdır.
ABD siber güvenlik ajansı, “Bu tür güvenlik açıkları, her türden kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.” açıklar.
BOD 22-01 direktifi yalnızca FCEB kurumları için geçerli olsa da, CISA özel ve kamu sektörü kuruluşlarını ağlarının devam eden siber saldırılara maruz kalmasını azaltmak için aktif olarak kötüye kullanılan bu güvenlik hatalarını düzeltmeye öncelik vermeye çağırdı.
CISA, bu bağlayıcı yönergeyi yayınladıktan sonra aktif olarak yararlanılan hatalar listesine yüzlerce güvenlik açığı ekledi ve güvenlik ihlallerini önlemek için ABD federal kurumlarından bunları mümkün olan en kısa sürede düzeltmelerini istedi.
Yılın başından bu yana, siber güvenlik ajansı ayrıca ajanslara aktif olarak yararlanılan sıfır günleri düzeltmelerini emretti: