Kötü niyetli tehdit aktörleri, 2021’de 81 olan sıfır günden 2022’de aktif olarak 55 yararlandı ve Microsoft, Google ve Apple ürünleri en çok hedef alınan ürünler oldu.
Yeni bir Mandiant raporuna göre, 55 saldırgandan 53’ü, saldırganların güvenlik açığı bulunan cihazlarda yükseltilmiş ayrıcalıklar elde etmesine veya uzaktan kod yürütmesine izin verdi.
“Müşteri ve kullanıcı verilerinin ifşa ve kötüye kullanım riski altında olması nedeniyle bilgilerin ifşası güvenlik açıkları genellikle dikkat çekebilse de, bu güvenlik açıklarından kaynaklanan saldırgan eylemlerinin kapsamı genellikle sınırlıdır. Alternatif olarak, yükseltilmiş ayrıcalıklar ve kod yürütme, ağlar arasında yanal harekete yol açarak ilk erişim vektörünün ötesinde etkilere neden olabilir” dedi.
N günlük güvenlik açığından yararlanma
On üç sıfır gün güvenlik açığı siber casusluk grupları tarafından istismar edildi, bunlardan yedisi Çin devlet destekli aktörler ve iki tanesi Kuzey Koreli saldırganlar tarafından istismar edildi. Üçü fidye yazılımı operasyonlarıyla bağlantılı olan dört sıfır gün, finansal olarak motive olmuş tehdit aktörlerine atfedildi.
Mali motivasyona sahip tehdit aktörleri tarafından sıfır gün güvenlik açıklarından yararlanma 2022’de azalmış olsa da Mandiant, zaten yamalanmış olan güvenlik açıklarından yararlanmayı içeren n günlük güvenlik açıklarından yararlanmanın, fidye yazılımı ve şantaj olaylarında hâlâ yaygın olarak bir ilk bulaşma vektörü olarak kullanıldığını tespit etti. .
Sıfır gün güvenlik açıklarından etkilenen teknolojilerin dağılımı, önceki yıllara benzer kaldı ve teknolojileri dünya çapında yaygın olarak benimsenen en büyük üç sağlayıcı birincil hedefler oldu:
Popüler teknolojiler en arzu edilen hedeflerdir.
Ek olarak, sıfır gün güvenlik açıkları yoluyla en sık yararlanılan ürünler şunlardı:
- İşletim sistemleri (19)
- Tarayıcılar (11)
- Güvenlik, BT ve ağ yönetimi ürünleri (10)
- Mobil işletim sistemleri (6)
Windows, istismar için en sık hedeflenen işletim sistemiydi (15 sıfır gün), 2022’de istismar edilen macOS sıfır gün sayısı yalnızca dörttü.
11 tarayıcı sıfır gün güvenlik açığından dokuzu ile Chrome, tarayıcı istismarı için birincil hedefti.
Tehdit aktörleri, her zaman internete maruz kaldıklarından ve genellikle onları koruyacak EDR/XDR veya diğer algılama çözümlerine sahip olmadıklarından, genellikle güvenlik, ağ ve BT yönetimi ürünlerini de hedefler.
“Bu cihazlar birçok nedenden dolayı çekici hedefler. İlk olarak, internet üzerinden erişilebilirler ve saldırganın bir istismarı varsa, herhangi bir kurban etkileşimi gerektirmeden bir ağa erişim elde edebilirler. Bu, saldırganın operasyonun zamanlamasını kontrol etmesine izin verir ve tespit edilme şansını azaltabilir. Analistler, internete bağlı bir cihazda çalışan kötü amaçlı yazılımların, bir ağa daha fazla yanal hareket etmeyi ve bir ağın içine komutlar ve verileri tünelleyerek komut ve kontrolü mümkün kılmasını da sağlayabilir” dedi.
“Bu tür ürünlerin birçoğunun, cihazın işletim sistemlerinde hangi işlemlerin çalıştığını görmek için basit bir mekanizma sunmadığına dikkat etmek önemlidir. Bu ürünler genellikle ağ trafiğini denetlemek, anormallikleri ve kötü niyetli davranış belirtilerini aramak için tasarlanmıştır, ancak genellikle kendi başlarına korunmazlar.”
Hızlı yama yapmanın önemi
HighGround.io’nun CEO’su Mark Lamb, yama uygulanmamış sıfır günlerin saldırganların kuruluşlara sızması için garantili bir yol sağladığı göz önüne alındığında, bu bulguların çok da şaşırtıcı olmadığını söylüyor.
“Şaşırtıcı olan, 2021’den bu yana sıfır gün istismarının ne kadar azaldığı” diye ekledi. “İşletmeler, iş kesintilerine neden olsalar bile yama uygulamalarının önemini pekiştirmek için bu verileri kullanmalıdır. Sıfır gün açıklanır açıklanmaz, onlardan yararlanmanın yollarını arayan saldırganlar için zaman işlemeye başlar, bu nedenle düzeltmeler yayınlanır yayınlanmaz bunlara öncelik verilmeli ve sistemlere uygulanmalıdır. Yamalar söz konusu olduğunda, çoğu büyük satıcı bunları her ay belirli bir tarihte yayınlar, bu nedenle bunlar mümkün olduğunca yayına yakın uygulanmalıdır.”