CISA, Aktif Olarak Yararlanılan Chrome ve Redis Hataları Konusunda Uyardı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumlara önümüzdeki üç hafta içinde bir Google Chome sıfırıncı gün ve kritik bir Redis güvenlik açığını yamalamaları gerektiğini tavsiye etti.
Cuma günü Google tarafından yayınlanan bir tavsiye belgesine göre, Chrome sıfır gün güvenlik açığı (CVE-2022-1096 olarak kodlanan), Chrome V8 JavaScript motorunda tehdit aktörlerinin hedeflenen cihazlarda rastgele kod yürütmesine izin verebilecek yüksek önem derecesine sahip bir güvenlik açığıdır.
Muhstik kötü amaçlı yazılım çetesi, 10 Mart’ta bir kavram kanıtı (PoC) açığının herkese açık olarak yayınlanmasının ardından Redis Lua güvenlik açığı için de özel bir istismar ekledi.
Kasım ayında Federal Sivil İdari Şube Ajansları (FCEB) tarafından yayınlanan bağlayıcı bir operasyonel yönergeye (BOD 22-01) göre, ajanslar sistemlerini bu güvenlik açıklarına karşı güvenceye almalı. CISA kurumlara, bu yamanın uygulanması için 18 Nisan’a kadar süre vermiş durumda.
ABD siber güvenlik ajansı, “Bu tür güvenlik açıkları, her türden kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluşlar için önemli riskler oluşturur” dedi.
CISA, aktif olarak istismar edildiğine dair kanıtlara dayanarak bugün “İstismar Edilen Güvenlik Açıkları Kataloğuna” 30 güvenlik açığı daha ekledi.
BOD 22-01 yalnızca FCEB kurumları için geçerli olsa da, CISA ayrıca özel ve kamu sektörü kuruluşlarını, devam eden siber saldırılara maruz kalma riskini azaltmak için gerekli güncellemeleri yapmaya teşvik ediyor.
Aktif olarak sömürülen yüzlerce güvenlik açığı bulunuyor
CISA, bu yıl aktif olarak yararlanılan güvenlik açıkları kataloğuna yüzlerce güvenlik açığı ekledi ve güvenlik ihlallerini önlemek için federal kurumlara mümkün olan en kısa sürede yama yapmalarını söyledi.
Ajans geçen Cuma, “SYSTEM” yetkisi kazanılmasını sağayan bir “Windows Yazdırma Biriktiricisi” hatası da (CVE-2022-21999) dahil olmak üzere saldırılarda yararlanılan 66 diğer hatayı listeye ekledi.
CISA ayrıca, kabaca 4,3 milyara 1 oranlarıyla rekor kıran DDoS saldırı amplifikasyonu için kullanılan bir Mitel TP-240 VoIP arabirim hatasını da listeye (CVE-2022-26143) ekledi.
2022’nin başlangıcından bu yana, siber güvenlik kurumu federal sivil kurumlara şu alanlarda aktif olarak yararlanılan güvenlik açıklarını düzeltmelerini emretti:
- Mozilla Firefox Web Tarayıcısı
- Zabbix Sunucuları
- Google Chrome ve Adobe Commerce/Magento Open Source
- iPhone, iPad ve Mac
- Windows Sistemler
Kaynak: bleepingcomputer.com
Diğer Haberler
IcedID Zararlısı Exchange Server’ları Hedef Alıyor
Hasar Onarımı ile Ülkemize 2 Milyar TL Tasarruf Sağladı!
Windows 11 22H2 Sürümündeki Değişiklikler Kendini Göstermeye Başladı