CISA, saldırganların artık ödenek öncesi uzaktan kod yürütme saldırıları için kritik bir ayrıcalık artış kusuru ile zincirlenebilen bir Microsoft SharePoint kod enjeksiyon güvenlik açığından yararlandığı konusunda uyarıyor.
CVE-2023-24955 olarak izlenen bu SharePoint Server Güvenlik Açığı, site sahibi ayrıcalıklarına sahip kimliği doğrulanmış saldırganların, korunmasız sunucularda kodu uzaktan yürütmesini sağlar.
İkinci kusur (CVE-2023-29357), uzaktan saldırganların sahte JWT Auth belirteçlerini kullanarak kimlik doğrulamasını atlatarak savunmasız SharePoint sunucularında yönetici ayrıcalıkları kazanmasına izin verir.
Star Labs araştırmacısı Nguyễn Giang (Janggggg) geçen yılın Vancouver'daki PWN2own yarışmasında gösterdiği gibi, bu iki SharePoint Sunucu güvenlik açıkları, Star Labs araştırmacısı Nguyễn Tiến Giang (Janggggg) 'de açılmamış sunucularda RCE kazanmak için zincirlenebilir.
Güvenlik araştırmacının sömürü sürecini açıklayan teknik bir analiz yayınlamasından bir gün sonra 25 Eylül'de GitHub'da bir CVE-2023-29357 Kavram Kanıtı sömürüsü yayınlandı.
POC istismarı, saldırganların hedeflenen sistemlerde uzaktan kod yürütülmesine izin vermese de, tehdit aktörleri hala CVE-2023-24955 RCE saldırıları için sömürü özellikleri ile zinciri tamamlamak için değiştirebilir.
Bu zinciri hedefleyen çoklu POC istismarları, o zamandan beri çevrimiçi olarak ortaya çıktı (Star Labs tarafından yayınlanan biri dahil) ve daha az yetenekli saldırganların saldırılarında kullanmasını kolaylaştırdı.
Bir ay sonra CISA, CVE-2023-29357 kusurunu bilinen sömürülen güvenlik açıkları kataloğuna ekledi ve ABD federal ajanslarına 31 Ocak'ta ay sonuna kadar yamasını emretti.
Salı günü, Siber Güvenlik Ajansı ayrıca aktif olarak sömürülen güvenlik kusurları listesine CVE-2023-24955 kod enjeksiyon kırılganlığını da ekledi. BOD 22-01 Bağlayıcı Operasyonel Direktif tarafından zorunlu kılınan federal ajanslar, SharePoint sunucularını 16 Nisan'a kadar güvence altına almalıdır.
CISA, iki SharePoint güvenlik açıklarından yararlanan saldırılarla ilgili herhangi bir ayrıntı paylaşmasa da, siber güvenlik ajansı fidye yazılımı saldırılarında kullanıldıklarına dair hiçbir kanıt olmadığını söyledi.
Cisa, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır." Dedi.
CISA'nın KEV kataloğu, federal ajansları mümkün olan en kısa sürede ele alınması gereken güvenlik açıkları konusunda uyarmaya odaklanırken, özel kuruluşların bu istismar zincirini saldırıları engellemek için yamalamaya öncelik vermeleri önerilir.
CISA: Kritik Microsoft SharePoint hatası artık aktif olarak sömürüldü
Saldırılarda kullanılan Fortinet RCE Bug için piyasaya sürülen istismar, şimdi Patch
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
Fortinet, uç nokta yönetimi yazılımındaki kritik RCE hatasını uyarıyor
Kritik Fortinet Kususu 150.000 açık cihazı etkileyebilir
Kaynak: Bleeping Computer