Siber güvenlik firması Mandiant tarafından yapılan yeni araştırma, 2023’te açığa çıkan 138 farklı güvenlik açığının analizine dayanarak, saldırganların güvenlik açıklarından yararlanmasına ilişkin şaşırtıcı istatistikler sunuyor.
Google Cloud’un blogunda yayınlanan bulgular, satıcıların, hem sıfır gün hem de N gün güvenlik açıklarından yararlanma ortalama süresini sürekli olarak kısaltan saldırganlar tarafından giderek daha fazla hedef alındığını ortaya koyuyor. Ancak tüm güvenlik açıkları saldırganlar için eşit değerde değildir; çünkü bunların önemi saldırganın belirli hedeflerine bağlıdır.
Yararlanma süresi, bir yama yayınlanmadan önce veya sonra bir güvenlik açığından yararlanmak için geçen ortalama süreyi tanımlayan bir ölçümdür. Mandiant’ın araştırması şunları gösteriyor:
BAKIN: Etkili Bir Siber Güvenlik Farkındalığı Programı Nasıl Oluşturulur (TechRepublic Premium)
TTE küçülmeye devam ettikçe saldırganlar hem sıfır gün hem de N gün güvenlik açıklarından giderek daha fazla yararlanıyor.
Sıfır gün güvenlik açığı, yama uygulanmamış ve genellikle satıcı veya kamuoyu tarafından bilinmeyen bir istismardır. N günlük güvenlik açığı, yamalar kullanıma sunulduktan sonra ilk kez yararlanılan bilinen bir kusurdur. Bu nedenle, hedeflenen sisteme yama yapılmadığı sürece bir saldırganın N günlük bir güvenlik açığından yararlanması mümkündür.
Mandiant, 2023’te N günün sıfır güne oranını 30:70 olarak ortaya koyarken, bu oran 2021-2022’de 38:62 oldu. Mandiant araştırmacıları Casey Charrier ve Robert Weiner, bu değişikliğin büyük ihtimalle N gün açıklarından yararlanma kullanımındaki bir düşüşten ziyade sıfır gün açıklarından yararlanma kullanımındaki artış ve tespitten kaynaklandığını bildiriyor. Tehdit aktörlerinin 2023’te sıfır günleri istismar etme konusunda daha başarılı girişimlerde bulunmuş olması da mümkün.
“Daha önce sıfır gün kullanımının zaman içinde giderek arttığını görmüş ve beklemeye devam etmiş olsak da, 2023 yılında sıfır gün kullanımı ile n gün kullanımı arasında daha da büyük bir farkın büyüdüğünü gördük; çünkü sıfır gün kullanımı, n gün kullanımından daha fazla geride kaldı. daha önce gözlemlemiştim” diye yazdı araştırmacılar.
Mandiant, düzeltmelerin yayınlanmasını takip eden ilk ayda 23 N-günlük güvenlik açığından yararlanıldığını gözlemlediklerini, ancak bunların %5’inin bir gün içinde, %29’unun bir hafta içinde ve yarıdan fazlasının (%56) bir gün içinde sömürüldüğünü bildirdi. ay. Toplamda, düzeltmelerin yayınlanmasından sonraki ilk altı ay boyunca 39 N-günlük güvenlik açığından yararlanıldı.
Saldırganlar, 2018’de 25 tedarikçiden 2023’te 56’ya yükselen hedef listelerine daha fazla tedarikçi ekleyecek gibi görünüyor. Bu, her yıl daha büyük bir saldırı yüzeyini korumaya çalışan savunmacılar için işi daha da zorlaştırıyor.
Mandiant, WordPress için WooCommerce Payments eklentisindeki CVE-2023-28121 güvenlik açığı durumunu ortaya koyuyor.
23 Mart 2023’te açıklanan bu özellik, üç aydan uzun bir süre sonra, önceden kimlik doğrulaması yapılmadan bir yönetici kullanıcı oluşturmak için bundan nasıl yararlanılacağını gösteren bir yayına kadar herhangi bir kavram kanıtı veya teknik ayrıntı almadı. Bir gün sonra Metasploit modülü yayınlandı.
Birkaç gün sonra başka bir silaha dönüştürülmüş istismar ortaya çıktı. İlk istismar, revize edilmiş silahlandırılmış istismarın yayınlanmasından bir gün sonra başladı ve iki gün sonra istismarın zirvesine ulaşarak tek bir günde 1,3 milyon saldırıya ulaştı. Bu vaka, Charrier ve Weiner tarafından belirtildiği gibi “işlevsel, büyük ölçekli ve güvenilir bir istismarın kamuya açık hale getirilmesi nedeniyle bir tehdit aktörünün bu güvenlik açığından yararlanma konusunda artan motivasyonunu” vurgulamaktadır.
CVE-2023-27997’nin durumu farklıdır. XORtigate olarak bilinen güvenlik açığı, Fortinet FortiOS’un Güvenli Yuva Katmanı (SSL) / Sanal Özel Ağ (VPN) bileşenini etkiliyor. Güvenlik açığı 11 Haziran 2023’te ortaya çıktı ve Fortinet bir gün sonra resmi güvenlik tavsiyesini yayınlamadan hemen önce medyada yer aldı.
Açıklamanın ardından ikinci günde, PoC’leri içeren iki blog yazısı yayınlandı ve silinmeden önce GitHub’da silahsız bir istismar yayınlandı. İlgi açıkça görülse de, ilk istismar ifşadan yalnızca dört ay sonra gerçekleşti.
Gözlemlenen zaman çizelgelerindeki farklılığın en olası açıklamalarından biri, iki güvenlik açığı arasındaki güvenilirlik ve kullanım kolaylığı arasındaki farktır. WordPress için WooCommerce Payments eklentisini etkileyen eklentinin kullanımı kolaydır çünkü yalnızca belirli bir HTTP başlığına ihtiyaç duyar. İkincisi, istismar edilmesi çok daha zor olan yığın tabanlı arabellek taşması güvenlik açığıdır. Bu durum özellikle çeşitli standart ve standart dışı korumaya sahip sistemler için geçerlidir ve bu da güvenilir bir istismarın tetiklenmesini zorlaştırır.
Mandiant’ın ortaya çıkardığı gibi, itici bir faktör de istismarın amaçlanan kullanımında yatmaktadır.
“Daha zor ancak ‘daha değerli’ bir güvenlik açığının istismar edilmesine yönelik daha fazla enerjinin yönlendirilmesi, eğer hedefleriyle daha iyi uyum sağlıyorsa mantıklı olacaktır; oysa istismar edilmesi daha kolay ve ‘daha az değerli’ bir güvenlik açığı, daha fırsatçı düşmanlara daha fazla değer sunabilir. ” diye yazdı araştırmacılar.
Güvenlik açığıyla ilişkili riske bağlı olarak güvenlik açıklarını düzeltmek için yamaların mümkün olan en kısa sürede dağıtılması her zamankinden daha fazla zorunludur.
Fransız saldırı ve savunma güvenlik şirketi Quarkslab’ın CEO’su Fred Raynal, TechRepublic’e şunları söyledi: “2-3 sisteme yama uygulamak bir şeydir. 10.000 sisteme yama uygulamak aynı şey değil. Organizasyon, insan ve zaman yönetimi gerektirir. Yani yama mevcut olsa bile yamayı yayınlamak için genellikle birkaç gün gerekiyor.”
Raynal, bazı sistemlerin yama uygulamasının daha uzun sürdüğünü ekledi. Cep telefonu güvenlik açığı düzeltme örneğini ele aldı: “Android kaynak kodunda bir düzeltme olduğunda Google’ın bunu uygulaması gerekir. Daha sonra SoC üreticilerinin (Qualcomm, Mediatek vb.) bunu denemesi ve kendi sürümlerine uygulaması gerekir. Daha sonra Telefon üreticilerinin (örn. Samsung, Xiaomi) bunu kendi versiyonlarına taşımaları gerekiyor. Daha sonra taşıyıcılar bazen ürün yazılımını oluşturmadan önce özelleştirir, bu da her zaman kaynağın en son sürümlerini kullanamaz. Yani burada bir yamanın yayılımı… uzun. Günümüz telefonlarında 6 aylık güvenlik açıklarının bulunması alışılmadık bir durum değil.”
Raynal ayrıca yamaların dağıtımında kullanılabilirliğin önemli bir faktör olduğu konusunda ısrar ediyor: “Bazı sistemler arızalanmayı göze alabilir! Bir petrol platformunu veya herhangi bir enerji üreticisini düşünün: yama yapmak sorun değil ama ya yama bir başarısızlık yaratırsa. Artık enerji yok. Peki en kötüsü nedir? Yamaları çözülmüş bir kritik sistem mi yoksa enerjisi olmayan bir şehir mi? Düzeltme eki kaldırılmış kritik bir sistem, potansiyel bir tehditle ilgilidir. Enerjisi olmayan bir şehir, gerçek meselelerle ilgilidir.”
Son olarak Raynal’a göre bazı sistemlere hiç yama uygulanmıyor: “Bazı bölgelerde yama yapılması yasaktır. Örneğin sağlık cihazları üreten birçok şirket, kullanıcılarının yama uygulamasını engelliyor. Aksi takdirde garanti bozulur.”
Kaynak: https://www.techrepublic.com/article/threat-actors-mandiant-report-2024/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası