ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarını gerekçe göstererek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna altı güvenlik açığı ekledi.
Bunlar arasında, açık kaynaklı bir veri görselleştirme yazılımı olan Apache Superset’i etkileyen ve uzaktan kod çalıştırmaya izin veren CVE-2023-27524 (CVSS puanı: 8.9) adlı yüksek önem derecesine sahip bir güvenlik açığı da bulunmaktadır. Bu sorunun ayrıntıları ilk olarak Nisan 2023’te ortaya çıkmış ve Horizon3.ai’den Naveen Sunkavally tarafından “Apache Superset’te kimliği doğrulanmamış bir saldırganın uzaktan kod yürütmesine, kimlik bilgilerini toplamasına ve verileri tehlikeye atmasına olanak tanıyan tehlikeli bir varsayılan yapılandırma” olarak tanımlanmıştır.
Şu anda bu güvenlik açığından nasıl yararlanıldığı bilinmemektedir. Ayrıca, CISA beş güvenlik açığı daha eklemiştir:
- CVE-2023-38203 (CVSS puanı: 9.8) – Adobe ColdFusion’da Güvensiz Deserialization Güvenlik Açığı
- CVE-2023-29300 (CVSS puanı: 9.8) – Adobe ColdFusion’da Güvensiz Derileştirme Güvenlik Açığı
- CVE-2023-41990 (CVSS puanı: 7.8) – Apple’da Çoklu Ürün Kodu Yürütme Güvenlik Açığı
- CVE-2016-20017 (CVSS puanı: 9.8) – D-Link DSL-2750B Cihazlarında Komut Enjeksiyonu Güvenlik Açığı
- CVE-2023-23752 (CVSS puanı: 5.3) – Joomla’da Uygunsuz Erişim Kontrolü Güvenlik Açığı!
Apple tarafından iOS 15.7.8 ve iOS 16.3’te yamalanan CVE-2023-41990, Triada Operation casus yazılım saldırılarının bir parçası olarak bilinmeyen aktörler tarafından özel olarak hazırlanmış bir iMessage PDF ekini işlerken uzaktan kod yürütülmesini sağlamak için kullanılmaktadır.
Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için yukarıda belirtilen güvenlik açıklarına yönelik düzeltmeleri 29 Ocak 2024 tarihine kadar uygulamaları tavsiye edilmektedir.
