2022’nin rutin olarak istismar edilen güvenlik açıkları bize ne söyleyebilir ve gelecek yılın listesine ne gireceğini düşünüyoruz?
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI) ve uluslararası ortaklar, 2022’nin En Çok İstismar Edilen Güvenlik Açıkları adlı ortak bir Siber Güvenlik Danışma Belgesi (CSA) yayınladı.
Listeyi gözden geçirdik ve hafıza şeridinde kötü bir yolculuk gibi geldi. “Tarihi görmezden gelenler, tarihi tekerrür etmeye mahkumdur” sözüne bağlı kalırsanız, listeyi ders çıkarabileceğiniz değerli bir kaynak olarak değerlendirebilirsiniz. Ne yazık ki George Bernard Shaw’un dediği gibi:
“Tarihten hiçbir şey öğrenmediğimizi tarihten öğreniyoruz.”
Ancak bu kendi içinde çelişkili bir ifade olduğundan, öğrenilecek dersler olduğunu varsayalım.
Geçen yılın en önemli güvenlik açıkları
Önce size kötü anıları göstereyim. Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Kapsanan güvenlik açıklarını benzersiz bir şekilde tanımlamak için CVE kodlarını kullanacağız.
- CVE-2021-40539, ManageEngine’in çoklu oturum açma (SSO) çözümünde yer alan ve uzaktan kod yürütmeye (RCE) neden olan bir REST API kimlik doğrulama atlama güvenlik açığıdır. Bu güvenlik açığından söz edildiğinde, vahşi ortamda istismar edildiği zaten açıktı. Bu güvenlik açığının, 2021’de rutin olarak en çok kullanılan 5 güvenlik açığı arasında yer alması da dikkate değerdir.
- Log4Shell olarak da bilinen CVE-2021-44228, binlerce başka üründe yer alan açık kaynaklı bir günlük kaydı çerçevesi olan Apache’nin Log4j kitaplığında bulunan bir güvenlik açığıdır. Kötü amaçlı siber aktörler, Aralık 2021’de kamuya açıklandıktan sonra güvenlik açığından yararlanmaya başladı ve 2022’nin ilk yarısı boyunca yüksek ilgi göstermeye devam etti.
- CVE-2018-13379, 2020 ve 2021’de de rutin olarak kullanılan Fortinet SSL VPN’lerini etkileyen bir güvenlik açığıdır.
- ProxyShell, uzaktaki bir saldırganın içeri girmesine, denetimi ele geçirmesine ve ardından yama uygulanmamış bir sunucuda kötü şeyler yapın. Proxyshell ayrıca 2021’de rutin olarak istismar edilen ilk 5 güvenlik açığı arasına girdi.
- CVE-2021-26084, Atlassian Confluence Sunucusunu ve Veri Merkezini etkileyen ve kimliği doğrulanmamış bir siber aktörün savunmasız sistemlerde rastgele kod yürütmesine olanak tanıyan bir güvenlik açığıdır. Bu güvenlik açığı, ifşa edilmesinden sonraki bir hafta içinde bir kavram kanıtı (PoC) yayınlandıktan sonra kısa sürede en rutin olarak kullanılan güvenlik açıklarından biri haline geldi. Bu güvenlik açığından toplu olarak yararlanma girişimi Eylül 2021’de gözlemlendi ve ayrıca 2021’de rutin olarak kullanılan ilk 5 güvenlik açığı arasına girdi.
Yukarıdakilere bakıldığında, Shaw en azından kısmen haklıymış gibi görünüyor. Tarihten ders almıyoruz. Ayrıca, gelecek yılın listesinde ortaya çıkacak bazı güvenlik açıklarını tahmin edebilmemiz gerektiğini de gösteriyor. Şuna bir göz atalım. Bu nedenle, 2022 listesinde yukarıda ele almadığımız, gözden kaçırması kolay ve/veya düzeltmesi zor güvenlik açıkları arıyoruz.
Bu yılın en önemli güvenlik açıkları?
Bunlar, belki de yıllardır ortalıkta dolaşanlarla birlikte, gelecek yıl ilk 10’a gireceğini düşündüğüm şeyler.
- CVE-2022-22954, CVE-2022-22960, VMware Workspace ONE Access, Identity Manager ve diğer VMware ürünlerinde Uzaktan Kod Yürütmeye (RCE), ayrıcalık yükseltmeye ve kimlik doğrulama atlamasına izin vermek için zincirlenebilen iki güvenlik açığıdır. Bu VMware güvenlik açıklarından yararlanma 2022’nin başlarında başladı ve yılın geri kalanında girişimler devam etti.
- CVE-2022-26134, Atlassian Confluence ve Data Center’ı etkileyen kritik bir RCE güvenlik açığıdır. İlk olarak Haziran 2022’de kamuya ifşa edilmeden sıfır gün önce olarak istismar edilen güvenlik açığı, siber aktörlerin 2022’de de yararlandığı daha eski bir Confluence güvenlik açığıyla (yukarıdaki CVE-2021-26084’e bakın) ilişkilidir.
- CVE-2022-1388, F5 BIG IP platformunda yer alan ve saldırganların internete açık iControl arayüzlerinde kimlik doğrulamasını atlamasına, potansiyel olarak rasgele komutlar yürütmesine, dosya oluşturmasına veya silmesine veya hizmetleri devre dışı bırakmasına olanak tanıyan bir güvenlik açığıdır.
- CVE-2022-30190, diğer adıyla Follina, bir Microsoft Windows Destek Teşhis Aracı RCE güvenlik açığıdır. Bir saldırgan size, makinenizi açtığınızda kötü amaçlı yazılımla tehlikeye atacak kötü amaçlı bir Office belgesi gönderebilir.
Bu yüzden bir anlaşmaya varabileceğimizi umuyordum. Gelecek yıl bu tahminin ne kadar işe yaradığını kontrol edeceğim ve hepiniz bu güvenlik açıklarını çok hızlı bir şekilde düzeltin, böylece gelecek yıl yenilerini yazabilirim.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.