ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), biri Google Chrome’u ve ikisi bazı D-Link yönlendiricilerini etkileyen üç güvenlik açığını “Bilinen İstismar Edilen Güvenlik Açıkları – KEV” kataloğuna ekledi. Bu sorunların KEV kataloğuna eklenmesi, federal kurumlara ve şirketlere, tehdit aktörlerinin saldırılarda bunlardan yararlandığı ve güvenlik güncellemeleri veya hafifletmelerinin uygulanması gerektiği konusunda bir uyarı niteliği taşıyor.
ABD’de siber güvenlik ve iletişim altyapısı alanında hizmet veren ve İç Güvenlik Bakanlığı’na bağlı olarak çalışan en yetkili kurum konumundaki CISA, tespit edilen açıklarla ilgili çeşitli yönergeler ve uyarılar yayınlıyor. Bu uyarıların sonuncusu olan 3 açıkla ilgili olarak ABD’deki federal kurumların etkilenen cihazları değiştirmek ya da saldırı riskini azaltan veya ortadan kaldıran savunmaları uygulamak için 6 Haziran’a kadar süreleri var.
Aktif olarak istismar edilen güvenlik açıkları
Google Chrome’da CVE-2024-4761 olarak takip edilen güvenlik açığının, 13 Mayıs’ta aktif olarak istismar edildiği doğrulandı, ancak şu anda hiçbir teknik ayrıntı kamuya açık değil. Söz konusu açık, Chrome’un tarayıcıda JS kodunu çalıştıran V8 JavaScript motorunda bir sınır dışı yazma açığı olarak tanımlanmaktadır ve önem derecesi yüksektir. CVE-2024-4761’in açıklanmasından iki gün sonra Google, Chrome’un V8 motorundaki başka bir güvenlik açığının (CVE-2024-4947) da aktif olarak istismar edildiğini duyurdu, ancak CISA henüz bunu KEV kataloğuna eklemedi.
CISA ayrıca D-Link DIR-600 yönlendiricileri etkileyen on yıllık bir açığın hala istismar edildiği konusunda uyarıyor. Bu açık CVE-2014-100005 olarak tanımlanmaktadır ve bir siteler arası istek sahteciliği (CSRF) sorunudur. Saldırganların cihazın web yönetici paneline gelen yönetici kimlik doğrulama taleplerini ele geçirmelerine, kendi yönetici hesaplarını oluşturmalarına, yapılandırmayı değiştirmelerine ve cihazın kontrolünü ele geçirmelerine olanak tanır.
D-Link açıkları
D-Link DIR-600 yönlendiricileri keşfedilmeden dört yıl önce kullanım ömrünün sonuna (EOL) ulaşmış olsa da, satıcı 2.17b02 ürün yazılımı sürümünde bir düzeltme ve hafifletme önerileri içeren bir güvenlik bülteni yayınlamıştı.
D-Link ürünlerini etkileyen bir başka hata da yakın zamanda KEV kataloğuna eklendi. CVE-2021-40655 olarak tanımlanan bu hata, 2015 yılından bu yana desteklenmeyen D-Link DIR-605 yönlendiricileri etkilemektedir.
Kusur için bir kavram kanıtı 2021’de GitHub’da yayınlandı. Bir saldırganın, /getcfg.php sayfasına kimlik doğrulaması olmadan gönderilen özel olarak hazırlanmış bir istek yoluyla yöneticinin kullanıcı adını ve parolasını ele geçirebileceği gösterilmişti.
CISA, iki D-Link açığı hakkında herhangi bir arka plan bilgisi vermedi dolayısıyla da bu açıkları kimin istismar ettiği ya da ajansın saldırıları ne zaman kaydettiği belirsizliğini koruyor.
Eski açıkları genellikle, cihazın türüne veya sorunun yaşına bakılmaksızın istismar edilebilir güvenlik sorunlarının geniş bir listesini içeren botnet kötü amaçlı yazılımları tarafından kullanılır. D-Link 600 ve 605 durumunda, cihazın, satıcının performans ve güvenlik güncellemeleriyle hala desteklediği daha yeni modellerle değiştirilmesi önerilir.
