ABD Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve FBI ortak bir açıklama yaparak, Rusya Dış İstihbarat Servisi (SVR)’nin ABD’e yönelik saldırılar yaptıklarını ve bu saldırlar için 5 adet güvenlik açığını kullandıklarını açıkladı.
İddiaya göre ABD makamları, Rusya istihbarat servisinin, ABD’deki devlet ve özel şirket ağlarına sızma, erişim bilgileri gibi bir çok hassas veriyi elde etmeye çalıştıklarını söylüyorlar.
NSA, ABD Devlet kurumlarını ve özel şirketlerini sistemlerini güncellemeleri konusunda uyarlılarda bulunuyor. Tespit edilen ve en çok istismar edilmeye çalışan güvenlik zafiyeti hakkında da bilgiler veriyor.
Öncelikle SolarWinds zafiyetleri ile tedarik zincirlerini, WellMess zararlısı ile COVID-19 laboratuvarlarını ve VMware zafiyetleri ile de network alt yapılarına sızmaya çalıştıklarını belirttiler.
NSA ayrıca en çok istismar edilmeye çalışılan 5 güvenlik zafiyetinide şu şekilde sıraladı.
1 – Fortigate Zafiyteti
Güvenlik açığı SSL VPN zafiyeti olarak açıklanırken CVE-2018-13379 kodu ile takip edile biliniyor.
FortiOS 6.0.0 – 6.0.4, 5.6.3 – 5.6.7 ve 5.4.6 – 5.4.12 sürümlerini etkiliyor.
2- Zimbra Zafiyeti
CVE-2019-9670 kodu ile takip edile birken 8.7.11p10’dan önceki Synacor Zimbra Collaboration Suite 8.7.x versiyonlarında etkili.
3 – Pulse Connect Secure
Başka bir VPN zafiyeti daha.
CVE-2019-11510 , 8.2R12.1’den önceki, 8.3R7.1’den 8.3 ve 9.0R3.4’ten önceki 9.0 Pulse Connect Secure (PCS) 8.2 versiyonlar etkileniyor.
4 – Citrix Zafiyeti
Saldırgan, Citrix Application Delivery Controller (ADC) ve Gateway sistemlerindeki zafiyetleri kullanarak sistemlere zararlı kod ve kripto zararlıları yükleyebiliyor.
CVE-2019-19781 , 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 ve 10.5.70.12’den önceki Citrix ADC ve Gateway sürümlerini ve SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO ve 5100 sürümleri -10.2.6b ve 11.0.3b’den önceki WO sürümleri etkileniyor.
5 – VMware Zafiyeti
Zafiyet bulunan sistemler VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector olarak listelenirken güvenlik açıklarının:
VMware One Access 20.01 ve 20.10 on Linux
VMware Identity Manager 3.3.1 – 3.3.3 on Linux
VMware Identity Manager Connector 3.3.1 – 3.3.3 ve 19.03
VMware Cloud Foundation 4.0 – 4.1 ve VMware Vrealize Suite Lifecycle Manager 8.x. sürümlerini etkiledikleri açıklandı.
NSA, Rus servisinin bu saldırı tiplerini kombine ederek kullandıklarını ve sistemlerin güncellenmesi konusunda uyarılarını tekrarlıyorlar.
Kaynak: bleepingcomputer.com
Bence bunlar aynı zamanda hangi sistemlerin uzaktan erişim zaafiyetleri fazladır, sorusunun yanıtı. Böyle olmasa hacker’lar bu açıklar konusunda uzmanlaşamazdı.