ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal kuruluşlara karşı sık sık saldırı vektörü olarak hizmet eden 15 yeni güvenlik sorunuyla bilinen açıklardan yararlanılan güvenlik açıkları listesini güncelledi.
En son eklenenler, ciddiyet ve açıklama tarihi açısından farklılık göstermekte olup, bazıları orta risk olarak derecelendirilirken diğerleri 2013 kadar eskidir.
Bir tehdit aktörünün ağ üzerindeki dayanağı, eski ve yama uygulanmamış cihazlar ve/veya cihazın halka açık internete maruz kalması gibi diğer faktörlerle birlikte, güvenlik açıkları ciddi bir güvenlik açığı ve düşmanlar için bir fırsattır.
Listedeki eski hatalar
CISA, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna yeni eklenen güvenlik sorunlarının devam eden saldırılarda kullanıldığına dair kanıt bulduktan sonra yeni listeyi derledi.
15 girişten yalnızca dördü 2021’den ve bir diğeri 2020’den daha yeni. Geri kalanlar iki yıldan daha eski, en eskileri 2013’ten – WinVerifyTrust işlevindeki bir hata olarak izleniyor CVE-2013-3900, XP SP2’den Server 2012’ye kadar olan Windows sürümlerini etkiler.
Başka bir eski güvenlik açığı, 2015’ten, IBM WebSphere Application Server ve Server Hy Server Hypervisor Edition’da uzaktan kod yürütme olarak tanımlanan, CVE-2015-7450 ve kritik olarak derecelendirildi (önem düzeyi 10 üzerinden 9.8).
Aşağıdaki tablo, aktif tehditlere karşı savunmayı güçlendirmek için CISA’nın federal kurumların bu ay düzeltmesini istediği tüm güvenlik açıklarını göstermektedir. CISA tavsiye ediyor satıcı talimatlarına göre mevcut güncellemeleri uygulamak.
CVE tanımlayıcısı | Açıklama |
Düzeltme bitiş tarihi |
NVD önem derecesi |
CVE-2021-22017 | VMware vCenter Sunucusu Uygunsuz Erişim Denetimi Güvenlik Açığı | 1/24/2022 | 5.3 (orta) |
CVE-2021-36260 | Hikvision Yanlış Giriş Doğrulama Güvenlik Açığı | 1/24/2022 | 9.8 (kritik) |
CVE-2021-27860 | FatPipe WARP, IPVPN ve MPVPN Ayrıcalık Yükseltme güvenlik açığı | 1/24/2022 | 8.8 (yüksek) |
CVE-2020-6572 | 81.0.4044.92 Kullanım Sonrası Güvenlik Açığı öncesi Google Chrome | 10.07.2022 | 8.8 (yüksek) |
CVE-2019-1458 | Microsoft Win32K Ayrıcalık Yükselmesi Güvenlik Açığı | 10.07.2022 | 7.8 (yüksek) |
CVE-2019-7609 | Elastik Kibana Uzaktan Kod Yürütme Güvenlik Açığı | 10.07.2022 | 10.0 (kritik) |
CVE-2019-2725 | Oracle WebLogic Server, Enjeksiyon Güvenlik Açığı | 10.07.2022 | 9.8 (kritik) |
CVE-2019-9670 | Synacor Zimbra Collaboration Suite XML Harici Varlık Referans Güvenlik Açığı için Uygunsuz Kısıtlama | 10.07.2022 | 9.8 (kritik) |
CVE-2019-10149 | Exim Posta Aktarım Aracısı (MTA) Hatalı Giriş Doğrulaması Güvenlik Açığı | 10.07.2022 | 9.8 (kritik) |
CVE-2019-1579 | Palo Alto Networks PAN-OS Uzaktan Kod Yürütme Güvenlik Açığı | 10.07.2022 | 8.1 (yüksek) |
CVE-2018-13383 | Fortinet FortiOS ve FortiProxy Uygunsuz Yetkilendirme Güvenlik Açığı | 10.07.2022 | 6.5 (orta) |
Fortinet FortiOS ve FortiProxy Uygunsuz Yetkilendirme Güvenlik Açığı | 10.07.2022 | 7.5 (yüksek) | |
CVE-2017-1000486 | Primetek Primefaces Uygulamasında Uzaktan Kod Yürütme Güvenlik Açığı | 10.07.2022 | 9.8 (kritik) |
CVE-2015-7450 | IBM WebSphere Application Server and Server Hy Server Hypervisor Edition Uzaktan Kod Yürütme Güvenlik Açığı | 10.07.2022 | 9.8 (kritik) |
Elastik Kibana Uzaktan Kod Yürütme Güvenlik Açığı | 10.07.2022 | Yok |
CISA’nın bilinen açıklardan yararlanılan güvenlik açıkları kataloğu, güvenlik risklerini azaltmak ve daha iyi güvenlik açığı yönetimi için Binding Operational Directive (BOD) 22-01’in bir parçasıdır.
Bu yönerge uyarınca, federal sivil kurumlar, katalogda listelenen güvenlik sorunlarını sistemlerinde tanımlamalı ve bunları düzeltmelidir.
Katalog esas olarak federal sivil kurumları hedeflese de, her türden kuruluş için siber risklere maruz kalmalarını azaltmak için iyi bir referanstır.