CISA, Hala Kullanılan Eski Güvenlik Açıklarına Karşı Uyarı Yayınladı

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal kuruluşlara karşı saldırılarda sık sık saldırı amaçlı kullanıldığı bilinen güvenlik açıkları listesine 15 yeni güvenlik açığı ekledi.

En son eklenen güvenlik açıkları, ciddiyet ve açıklama tarihi açısından farklılıklar göstermekte Kimi güvenlik açıkları orta risk olarak derecelendirilirken kimi açıklar da 2013 bildirim tarihine sahip olacak kadar eski.

Bir tehdit aktörünün ağ üzerindeki en önemli hedefleri, eski ve yama uygulanmamış cihazlar ve/veya cihazın internete güvensiz bir şekilde açılması gibi çeşitli faktörler olmakla birlikte, güvenlik açıkları da bilgisayar korsanları için ciddi bir araçtır.

Listede oldukça eski hatalar da bulunuyor

CISA, çeşitli güvenlik açıklarının devam eden saldırılarda kullanıldığına dair kanıt bulduktan sonra aktif olarak kullanıldığı bilinen güvenlik açıkları kataloğuna bu hataları da ekledi.

Yeni eklenen 15 güvenlik açığından yalnızca dördü 2021’den ve biri de 2020’den daha yeni. Geri kalanlar iki yıldan daha eski, en eskileri ise ilk olarak 2013 yılında keşfedilmiş olan CVE-2013-3900 kodlu ve XP SP2’den Server 2012’ye kadar olan Windows sürümlerini etkileyen bir hata.

2015 yılında bildirilen başka bir eski güvenlik açığı ise, IBM WebSphere Application Server ve Server Hy Server Hypervisor Edition’ı etkileyen ve CVE-2015-7450 olarak tanımlanan ve kritik olarak derecelendirilen bir uzaktan kod yürütmesi güvenlik açığıdır (10 üzerinden 9,8 önem düzeyi).

Aşağıdaki tablo, aktif tehditlere karşı savunmayı güçlendirmek için CISA’nın federal kurumların bu ay düzeltmesini istediği tüm güvenlik açıklarını göstermektedir. CISA, satıcı talimatlarına göre mevcut güncellemelerin uygulanmasını önerir.

CVE Kodu	Açıklama	Düzeltme Tarihi	NVD önem derecesi
CVE-2021-22017	VMware vCenter Sunucusu Uygunsuz Erişim Denetimi güvenlik açığı	1/24/2022	5.3 (medium)
CVE-2021-36260	Hikvision Yanlış Giriş Doğrulama güvenlik açığı	1/24/2022	9.8 (critical)
CVE-2021-27860	FatPipe WARP, IPVPN ve MPVPN Ayrıcalık Yükseltme güvenlik açığı	1/24/2022	8.8 (high)
CVE-2020-6572	Google Chrome 81.0.4044.92 versiyonu güvenlik açığı	7/10/2022	8.8 (high)
CVE-2019-1458	Microsoft Win32K Ayrıcalık Yükselmesi güvenlik açığı	7/10/2022	7.8 (high)
CVE-2019-7609	Elastik Kibana Uzaktan Kod Yürütme güvenlik açığı	7/10/2022	10.0 (critical)
CVE-2019-2725	Oracle WebLogic Server güvenlik açığı	7/10/2022	9.8 (critical)
CVE-2019-9670	Synacor Zimbra Collaboration Suite XML güvenlik açığı	7/10/2022	9.8 (critical)
CVE-2019-10149	Exim Posta Aktarım Aracısı (MTA) Hatalı Giriş Doğrulaması güvenlik açığı	7/10/2022	9.8 (critical)
CVE-2019-1579	Palo Alto Networks PAN-OS Uzaktan Kod Yürütme güvenlik açığı	7/10/2022	8.1 (high)
CVE-2018-13383	Fortinet FortiOS ve FortiProxy Uygunsuz Yetkilendirme güvenlik açığı	7/10/2022	6.5 (medium)
CVE-2018-13382	Fortinet FortiOS ve FortiProxy Uygunsuz Yetkilendirme güvenlik açığı	7/10/2022	7.5 (high)
CVE-2017-1000486	Primetek Primefaces Uygulamasında Uzaktan Kod Yürütme güvenlik açığı	7/10/2022	9.8 (critical)
CVE-2015-7450	IBM WebSphere Application Server and Server Hy Server Hypervisor Edition Uzaktan Kod Yürütme güvenlik açığı	7/10/2022	9.8 (critical)
CVE-2013-3900	Elastik Kibana Uzaktan Kod Yürütme güvenlik açığı	7/10/2022	N/A

CISA’nın bilinen açıklardan yararlanılan güvenlik açıkları kataloğu, güvenlik risklerini azaltmak ve daha iyi güvenlik açığı yönetimi için Binding Operational Directive (BOD) 22-01’in bir parçasıdır.

Bu yönerge uyarınca federal sivil kurumlar, katalogda listelenen güvenlik sorunlarını sistemlerinde tanımlamalı ve bunları düzeltmelidir.

Katalog esas olarak federal sivil kurumları hedeflese de, her türden kuruluşun siber risklere maruz kalmalarını azaltmak için iyi bir referanstır.

Kaynak: bleepingcomputer.com

Diğer Haberler

Windows 10 KB5009543 ve KB5009545 Güncellemeleri Yayınlandı Zafiyetler Kapatıldı
Microsoft, Kritik Office Zafiyeti İçin Güncelleme Yayınladı Ancak macOS Güvenlik Güncellemelerini Beklemede
Microsoft: Windows 11 KB5009566 İle Güvenlik Zafiyetlerini Giderdi