CISA voegt twee hoog-risico kwetsbaarheden toe aan geëxploiteerd catalogus: Wat beveiligingsteams nu moeten doen

Het Cybersecurity en Infrastructure Security Agency (CISA) heeft opnieuw zijn Catalogus van Bekende Uitgebuite Kwetsbaarheden (KEV) vernieuwd—een kritieke informatiebron voor zowel federale als particuliere verdedigers. Op 2 mei 2025 werden twee kwetsbaarheden toegevoegd die werden geverifieerd als zijnde uitgebuit in het wild:

• CVE-2025-34028 – Commvault Command Center Pad Traversal Kwetsbaarheid
• CVE-2024-58136 – YiiFramework Alternatieve Pad Kwetsbaarheid: Onjuiste Bescherming

Deze uitbreidingen benadrukken de noodzaak voor organisaties in alle sectoren om waakzaam en proactief te blijven met kwetsbaarheidsbeheer, zelfs wanneer ze niet onder actieve federale vereisten vallen.

Waarom Deze CVE's Belangrijk Zijn

CVE-2025-34028 in Commvault Command Center is een pad traversal kwetsbaarheid die aanvallers in staat stelt om ongeautoriseerde mappen te lezen of code buiten bedoelde bestandsstructuren uit te voeren. De kwetsbaarheid is vooral zorgwekkend gezien de gevoelige aard van back-up- en gegevensbeschermingssystemen, die een favoriet doelwit zijn van ransomware-aanvallers en aanvallers van natiestaten.

CVE-2024-58136 beïnvloedt het Yii PHP Framework dat vaak wordt gebruikt in webapplicaties. Het is het resultaat van onvoldoende bescherming van alternatieve paden, wat aanvallers in staat kan stellen om toegangscontroles te omzeilen die ervoor zijn ontworpen. De exploitatie ervan kan leiden tot ongeautoriseerd gebruik van gevoelige functionaliteit of gegevens, waardoor een aanzienlijk risico ontstaat voor ontwikkelaars en platformbeheerders.

De Rol van BOD 22-01

Federale Civiele Uitvoerende Tak (FCEB) agentschappen onderworpen aan Bindende Operationele Richtlijn 22-01 moeten KEV-geliste kwetsbaarheden binnen voorgeschreven tijdlijnen verhelpen. De richtlijn vereist een gestructureerde, geprioriteerde reactie op actief uitgebuite CVE's ten gunste van robuustere beveiligingsposities op overheidsnetwerken.
Hoewel de richtlijn zich richt op federale agentschappen, suggereert CISA sterk dat alle organisaties—particuliere bedrijven, aanbieders van kritieke infrastructuur en SaaS-leveranciers—de KEV-catalogus gebruiken als een dringende lijst voor herstel.

Deskundig Advies voor Beveiligingsteams

Bij Security Briefing dringen we aan op onmiddellijke actie voor beheerders die toezicht houden op Commvault- of Yii-installaties:

• Controleer elke installatie van Commvault Command Center en webapplicaties op basis van Yii.
• Patch of pas mitigaties zo snel mogelijk toe. Langdurige vertraging in het patchen van openbaar uitgebuite kwetsbaarheden kan leiden tot directe compromittering.
• Pas bestands toegangscontroles en webapplicatiefirewalls (WAF's) toe om pad traversal of alternatieve pad toegangspogingen te identificeren en te voorkomen.
• Track CISA’s KEV Catalog on a weekly basis—incorporate into automated vulnerability scanning and remediation processes.
• Controleer toegangslogboeken en voer dreigingsjacht uit op tekenen van eerdere exploitatie, vooral in extern gerichte systemen.

Laatste Gedachte: CISA’s continuous updates to the KEV catalog represent a vital warning system. Not responding to these warnings is the same as keeping known entry points open for cybercriminals, who are actively taking advantage of them. Regardless of whether you belong to the private or public sector, handle each KEV addition with the highest priority. Proactive vulnerability management is no longer a choice—it’s a necessity to securing the modern enterprise.