Adobe ColdFusion Güvenlik Açığıyla ABD Devlet Kurumlarına Sızıldı!

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Adobe ColdFusion'da tespit edilen ve CVE-2023-26360 olarak adlandırılan kritik bir güvenlik açığından etkilenen sistemlerde devlet sunucularına yetkisiz erişim sağlanabileceği konusunda bir uyarı yayınladı.

Adobe ColdFusion Güvenlik Açığıyla Devlet Sunucuları Tehlikede: CISA Uyarıyor

Söz konusu güvenlik açığı Adobe ColdFusion 2018 Güncelleme 15 ve daha eski sürümleri ile 2021 Güncelleme 5 ve önceki sürümleri çalıştıran sunucularda rastgele kod yürütülmesine olanak tanıyor.

CISA, Adobe'nin Mart ayında yayımladığı ColdFusion 2018 Update 16 ve 2021 Update 6 güncellemeleriyle bu sıfırıncı gün açığını kapatmış olsa da, güncellemeyi uygulamayan kurumların hala risk altında olduğunu belirtiyor.

CISA daha önceki bir bildiriminde açığı kullanan tehdit aktörleri hakkında bilgi vermiş ve federal kurumları güvenlik güncellemelerini hemen uygulamaya çağırmıştı. Ancak CISA'nın dün yayınladığı bir uyarı, CVE-2023-26360'ın hala saldırılarda kullanıldığına dair yeni örneklerle birlikte geldi ve Haziran ayında iki federal kurumu etkileyen olaylara vurgu yaptı.

CISA tehdit aktörlerinin bu güvenlik açığından yararlanmak için HTTP POST komutlarını kullandığını belirtiyor.

İlk olayda 26 Haziran tarihinde kaydedilen saldırıda Adobe ColdFusion v2016.0.0.3 çalıştıran bir sunucu hedef alındı. İkinci olay ise 2 Haziran'da gerçekleşti ve bilgisayar korsanları, Adobe ColdFusion v2021.0.0.2 çalıştıran bir sunucuda CVE-2023-26360'ı kullanarak uzaktan erişim truva atı bıraktı.

Her iki saldırı da tespit edilip engellenmiş olmasına rağmen CISA saldırıların gerçek bir istismar olmaktan ziyade keşif çabaları olarak değerlendirildiğini belirtiyor. Ancak, her iki olayın aynı tehdit aktörü tarafından gerçekleştirilip gerçekleştirilmediği henüz bilinmiyor.

Siber güvenlik riskini azaltmak için CISA, ColdFusion'ın en son sürümüne yükseltilmesini, ağ segmentasyonunun uygulanmasını, güvenlik duvarı veya WAF kurulumunu ve imzalı yazılım yürütme politikalarının uygulanmasını öneriyor.

Son dönemdeki sıfırıncı gün açıkları ve saldırı vektörlerindeki çeşitlenme, veri ihlallerindeki artışı hızlandırıyor. ABD'de veri ihlali rekoru kırılırken, Türkiye'de 2023'ün ilk altı ayında siber saldırı sayısı yarım milyonu aştı.

Siber güvenlik araştırmacıları, başarılı sıfırıncı gün saldırılarının sayısındaki artışın bu artışın bir nedeni olduğunu belirtiyor. ITRC'nin verilerine göre, 2023'ün ilk üç çeyreğinde bildirilen sıfırıncı gün saldırıları 2022'nin tamamına kıyasla 15 katından fazla artış gösterdi. Ayrıca, veri ihlali yaşayan kuruluşların şeffaflık eksikliği de endişe kaynağı olarak öne çıkıyor.