ABD siber güvenlik otoritesi CISA, SimpleHelp, Samsung MagicINFO ve D-Link DIR-823X'e yönelik saldırıları gözlemledi. Saldırıya uğrayan güvenlik açıklarından bazıları biraz daha eski.
Duyurudan sonra devamını okuyun
CISA danışma belgesinde kurum, güvenlik açıklarını listeliyor. Şu anda SimpleHelp RMM uzaktan bakım aracındaki kusurlara karşı yürütülen saldırılar en ciddi saldırılar gibi görünüyor. Bunlardan biri, düşük ayrıcalıklı saldırganların yüksek ayrıcalıklı API anahtarları oluşturmasına ve ardından sunucu yöneticisi rolünü kazanmasına olanak tanır (CVE-2024-57726, CVSS) 9.9risk”eleştirmen“). Diğeri, dosyaları dosya sistemindeki herhangi bir konuma taşıyan ve böylece kodunuzun SimpleHelp sunucu haklarıyla (CVE-2024-57728, CVSS) yürütülmesine olanak tanıyan değiştirilmiş ZIP dosyalarının yüklenmesine izin verir. 7.2risk”yüksek“). Sürüm 5.5.8 veya üzeri sorunları giderir. Ancak güvenlik açıklarına Ocak 2025'te zaten saldırı düzenlendi. Görünüşe göre bazı yöneticiler mevcut güncellemeleri henüz uygulamamış.
Samsung MagicINFO 9 Server, şirketler ve kamu kurumlarındaki ekranları kontrol etmeye yönelik bir dijital tabela platformudur. Açıklık nedeniyle saldırganlar sistem haklarına sahip olarak sisteme rastgele dosyalar yazabilmektedir. Bu görünüşe göre enjekte edilen kodun çalışmasına izin veriyor. Güvenlik açığı CVE-2024-7399 (CVSS 9.8risk”eleştirmen“) zaten biraz daha eski, Samsung ona Ağustos 2024'te bir güncelleme sağladı. “Menü” – “Destek” – “Yazılım güncelleme” üzerinden otomatik güncellemeyi etkinleştirerek güncellemeyi bulmalı ve cihazınıza aktarmalıdır.
EOL yönlendiricisindeki botnet
Saldırganlar ayrıca D-Link DIR-823X yönlendiricilerini de hedef alıyor. Bu, ağ saldırganlarının oturum açtıktan sonra rastgele komutlar yürütmesine olanak tanır (CVE-2025-29635, CVSS 7.2risk”yüksek“). Ancak bu yönlendiricilere yönelik desteğin süresi zaten 15 Kasım 2024'te sona erdi. BT ortamında hâlâ bu kadar güncel olmayan bir cihaza sahip olan herkesin, onu hızlı bir şekilde üreticinin güvenlik güncellemeleriyle birlikte gelen bir cihazla değiştirmesi gerekiyor. Bulut ve güvenlik sağlayıcısı Akamai, geçen hafta bu eski cihazlara yayılan Mirai botnet'in D-Link yönlendiricilerine yönelik saldırılarını bildirdi. Şirket, Snort ve Yara'ya saldırıları ve kötü amaçlı yazılımları tespit ettiği bilinen kurallar sağlıyor.
Başarılı saldırıların türü, kapsamı veya göstergeleri (Uzlaşma Göstergeleri, IOC) gibi mevcut diğer saldırılar hakkında daha fazla bilgi bilinmemektedir. Ancak BT yöneticilerinin mevcut güncellemeleri hızla uygulaması gerekir.
(Bilmiyorum)
Bir yanıt yazın