ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), geçen yıl bağlayıcı operasyonel yönergeyi (BOG) yayınlanmasından bu yana, aktif olarak sömürülen güvenlik sorunları listesine 95 güvenlik açığı ekledi.
Bazılarının neredeyse yirmi yıldır bilinmesine rağmen, Ajans, "Federal İşletme" için önemli risk oluşturduğunu belirtti.
BOD 22-01 uyarınca, bilinen sömürülen güvenlik açığı riskini azaltmak için, federal ajanslar, yeni eklenen 95 güvenlik kusurunu düzeltmek için üç haftadan biraz fazla verilir, çoğu 24 Mart'dır.
Güvenlik açıklarının 27'si için, yama için daha kısa bir son tarih var, 17 Mart, çoğunlukla daha yakınlardalar ve hassas bilgilere erişimi sağlayan veya ağdaki cihazlara geçişi sağlayan sistemleri etkiler. Bu hataların sekizi, en az 9.8'in yüksek kritik bir ciddiyet skoruna sahiptir.
CISA'nın bilinen sömürülen güvenlik açıklarının kataloğuna en son girişler, ürünleri çoğunlukla Microsoft (Windows, Office) ve Cisco'dan etkiler.
Bununla birlikte, diğer satıcılardan veya projelerden ürünler - Oracle, Adobe, Mozilla, Siemens, Apache, Exim, Linux, Treck TCP / IP yığını ve Çakracore da mevcuttur.
Garip bir şekilde, federal ajanslar hala Adobe Flash Player'lı sistemleri kullanıyor gibi görünüyor, ancak 2020'nin son günü durdu.
2021'in başında Adobe ayrıca Flash Player'da koşmaktan flash içeriğini engelledi ve şirketin "tüm kullanıcıların derhal kaldırılması", doğal güvenlik riskleri nedeniyle bu şekilde kaldırılmasını tavsiye etti.
Flash Player Bugs CISA'nın bazıları, 10 üzerinden 9.8 olan kritik ciddiyet skoru ile gelir ve beş yaşından büyük (örneğin, CVE-2016-4117 ve CVE-2016-1019).
Listedeki en eski güvenlik açığı 2002'den itibaren, Windows NT ve Windows 2000 Windows'ta SMSs.exe hata ayıklama alt sistemini etkileyen CVE-2002-0367 olarak izlenen bir ayrıcalık yükseltme güvenlik açığıdır.
Aşağıdaki tablo, CISA'nın bu hafta bilinen sömürülen güvenlik açıklarına kataloğuna eklediği en eski 10 güvenlik açıkını listeler:
Bu hafta eklenen 95 güvenlik açıkıyla, CISA'nın federal ajansların adrese aktif olarak sömürülen hataların kataloğu toplam 478 girişe sahiptir.
Mevcut oldukları için güvenlik güncellemelerini uygulamak, hem kamu hem de özel sektördeki kuruluşlar için öncelikli olmalıdır.
ABD Siber Güvenlik Ajansı, tüm kuruluşları cyberattacks'a maruz kalmalarını azaltmak için kataloğuna eklenen tüm güvenlik sorunlarını iyileştirmeye teşvik eder.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
CISA, Zabbix sunucularında aktif olarak sömürülen güvenlik açıklarının uyarılması
CISA, aktif olarak sömürülen hatalar listesine 8 güvenlik açığı ekler
CISA, saldırılarda sömürülen böcekler listesine 17 güvenlik açığı ekler
Mozilla Firefox 97.0.2 İki aktif olarak sömürülen sıfır gün böcek düzeltmesi
Kaynak: Bleeping Computer