Popüler güvenlik donanımı üreticisi SonicWall , e-posta güvenlik ürünlerindeki sıfırıncı gün zafiyetleri için güvenlik güncellemeleri paylaştı.
Şirketin internet sitesinde yer alan güvenlik notunda, söz konusu güvenlik açıklarının halen siber saldırganların istismarına açık olduğu ifadesi yer aldı.
Firma yetkilileri açıklamada, Microsoft Windows Server ile donanım ve sanal araç kullanıcılarının söz konusu yamayı yüklemelerini tavsiye etti.
Mandiant siber güvenlik firmasından Josh Fleischer ve Chris DiGiamo tarafından keşfedilen üç sıfırıncı gün zafiyetleri şöyle sıralanabilir
- CVE-2021-20021 kodlu E-mail Security Ön-Kimlik Doğrulamalı Yönetici Oluşturma zafiyeti:
Siber tehdit unsurlarının sistemlere uzak ana bilgisayara HTTP talebi göndererek bir yönetici hesabı oluşturmasına imkan veriyor.
- CVE-2021-20022 kodlu E-mail Security Sonradan Kimlik Doğrulamalı Rastgele Dosya Yükleme Zafiyeti:
Güvenlik açığı e-postalarda sonradan ön kimlik doğrulaması ile uzak ana bilgisayarda rastgele dosya yüklenmesine olanak tanıyor.
- CVE-2021-20023 kodlu E-mail Security Sonradan Kimlik Doğrulamalı Rasgele Dosya Okuma Zafiyeti:
Zafiyet e-posta sistemi üzerinde sonradan kimlik doğrulamasının ardından siber saldırganların rastgele dosya okumasına fırsat tanıyor.
ESKİ VERSİYONLAR DA RİSK ALTINDA HEMEN GÜNCELLEMEK GEREKİYOR
Güvenlik yamalarının nasıl uygulanacağı konusundaki ayrıntılı yönergeler firmanın sitesinde paylaşıldı.
Firma Email Security (ES) yazılımının 10.0.4,10.0.3, 10.0.2, 10.0.1 sürümlerinin yanı sıra
7.0.0 ile 9.2.2 arasındaki versiyonlarının da zafiyetlerden etkilendiğini açıkladı. Açıklamada ayrıca eski versiyonların (7.0.0 ile 9.2.2 arası) destek lisansına sahip oldukları için güncel sürümleri indirebilecekleri belirtildi.
