“Sıfır gün” terimi, geliştiricilerin bir güvenlik açığını keşfetmesi ile saldırganların bu güvenlik açığını kullanması arasında herhangi bir süre olmadığını belirtir.
Göre Indusface sıfır gün güvenlik açığı raporu, 2023’ün 3. çeyreğinde 700’den fazla 0 günlük güvenlik açığı tespit edildi.
Bu blog, sıfır gün istismarlarının neden olduğu riskleri ve güvenlik açığı penceresinin nasıl azaltılacağını özetlemektedir. sanal yama.
Sıfır Gün Güvenlik Açığı Nedir?
“Sıfır gün güvenlik açığı”, bir yazılım uygulamasında, işletim sisteminde veya donanım cihazında satıcı veya kamu tarafından bilinmeyen bir güvenlik kusuru veya zayıflığıdır.
Sıfır Gün Güvenlik Açıklarının Temel Özellikleri
- Açıklanmayan: Sıfır gün güvenlik açıkları yazılım veya donanım satıcısı tarafından bilinmiyor; bu da onların sorundan habersiz olduğu anlamına geliyor.
- Mevcut Yama Yok: Satıcı bu güvenlik açığından haberdar olmadığından, sorunu çözen hiçbir resmi yama veya düzeltme yoktur.
- Sömürülebilir: Saldırganlar, güvenlik açığından yararlanmak için istismarlar gerçekleştirebilir; bilinmediği için herhangi bir savunma veya karşı önlem yoktur.
Sıfır Gün Güvenlik Açıkları Tespit Edildi 2023 3. Çeyrek
Aşağıdaki grafik, 2023’ün 3. çeyreğinde güvenlik araştırmacıları tarafından keşfedilen sıfır gün güvenlik açıklarını göstermektedir:
Kamuya Açıklanan Sıfır Gün Güvenlik Açıklarının Güncel Örnekleri
2023’te birkaç sıfır gün güvenlik açığı ortaya çıktı:
CVE-2023-35708 (MOVEit Aktarımı): Bu güvenlik açığı, saldırganların MOVEit Transfer veritabanlarını ihlal etmek için SQL enjeksiyonunu kullanmasına olanak tanır. Hatta veritabanlarını bile silebilir, gasp amacıyla iş operasyonlarını sekteye uğratabilirler. Lace Tempest Ransomware grubu, aralarında Shell ve ABD devlet kurumlarının da bulunduğu 27 şirkete yönelik Cl0p fidye yazılımı saldırılarından sorumlu olan bu güvenlik açığını keşfetti. Bu güvenlik açığının, CVE-2023-35036 ve CVE-2023-34362 dahil olmak üzere örtüşen güvenlik açıkları kümesinin bir parçası olması dikkat çekicidir.
CVE-2023-26360 (Adobe ColdFusion):Mart 2023’te Adobe ColdFusion’da CVE-2023-26360 olarak tanımlanan önemli bir güvenlik açığı bulundu. Saldırganlar, zayıf erişim kontrolü nedeniyle uzaktan rastgele kod çalıştırabilirler. Bu, hassas bilgileri riske atar ve ColdFusion sunucularına yetkisiz erişime izin verir.
CVE-2023-38035 (Ivanti): Ivanti’nin ürünü 2023’te CVE-2023-38035 olarak işaretlenen ciddi bir sıfır gün güvenlik açığıyla karşı karşıya. Bu kusur, kimliği doğrulanmamış saldırganların hassas API’lere yetkisiz erişim sağlamasına olanak tanır. Yapılandırmaları değiştirebilir, komutları yürütebilir veya sisteme dosya yazabilirler.
CVE-2023-44487 (HTTP/2 Hızlı Sıfırlama):HTTP/2 Hızlı Sıfırlama güvenlik açığı, 2023’te web sunucularının aşırı yüklenmesiyle büyük ölçekli DDoS saldırılarına olanak tanıyor. Saldırganlar Google, AWS ve Cloudflare gibi büyük hizmet sağlayıcıları hedef aldı. Bu tehdide karşı güçlü koruyucu önlemlere ihtiyaç var.
Kurban satıcılar bu güvenlik açıklarına yönelik yamalar oluşturmak için yarışırken, uygulamaya özel sanal yamalar güvenlik açığı penceresini azaltmada etkili oldu. AppTrana WAAP’ta sıfır gün güvenlik açıklarının %7’sinden azı uygulamaya özel özel kurallar gerektiriyordu.
WAAP/WAF’ta Sıfır Gün Tehdit Kapsamı
Sıfır gün güvenlik açıkları, herhangi biri bir sorunu tespit etmeden çok önce karmaşık zorluklara neden olur. Bu güvenlik açıkları ortaya çıktığında geliştiriciler sistemlerini düzeltme şansına sahip olur.
Ancak çoğu durumda kalıcı yamaların uygulanması zaman alıcı olabilir, bazen aylar sürebilir, bu da dijital varlıkları saldırılara karşı savunmasız bırakır.
WAF/WAAP, kuruluşlar yamaları uygulamaya çalışırken tehditler geliştikçe sanal bir yama ve gerçek zamanlı koruma sunarak en son uygulama katmanı tehditlerine karşı koruma sağlar.
Sanal yama, bilinen güvenlik açıklarına karşı hızlı bir savunma mekanizması görevi görür. Özellikle resmi güncellemelerin olmadığı sıfır gün saldırıları karşısında saldırıları engelleyen bir bariyer oluşturur.
Sanal yama uygulamasının hayati bir rol oynadığı senaryolar şunlardır:
- Sanal yamalar, kuruluşlar için kritik koruma görevi görür ve satıcı yeni bir güvenlik açığını gidermek için resmi bir yazılım yaması yayınlayana kadar aradaki boşluğu doldurur.
- Geleneksel yama yönetimi yöntemlerini kullanan birçok büyük kuruluş, yamaları hemen kullanıma sunmaz. Satıcının bir yazılım yaması yayınlamasının ardından test aşamaları daha fazla gecikmeye neden oluyor. Sanal düzeltme eki, etkin bir yararlanma kampanyasının ilk aşamalarında büyük önem kazanır ve kuruluş satıcının düzeltme ekini değerlendirirken bilinen güvenlik açıkları için temel koruma sağlar.
- Dikkatli planlama gerektiren ve kesinti süresini karşılayamayan, görev açısından kritik varlıkları korumak için sanal yama uygulama daha da hayati hale geliyor.
Sanal bir yama geliştirirken, WAAP/WAF’ın iki temel yönünü desteklemek çok önemlidir: meşru trafiğin yanlışlıkla engellenmemesini sağlamak (yanlış pozitiflerden kaçınmak) ve sanal yamalama için SLA’ya bağlı kalmak.
WAF’taki herhangi bir kuralda olduğu gibi, yanlış pozitiflik riski vardır. WAF sağlayıcınızın yönetilen hizmet ekibi, hatalı pozitif sonuçları önlemek için yazdıkları kuralların doğruluğunu değerlendirmelidir.
İkinci kritik faktör ise güvenlik ekibinin belirli bir yamayı uygulamak için harcadığı zamandır. İdeal olarak, aktif olarak yararlanılan güvenlik açıklarıyla uğraşırken en kısa sürede azaltma işlemi gerçekleştirilmelidir. Uygulamaya özel sanal yamalardaki SLA’ları belirten bir WAAP satıcısı bulun.
İle AppTrana WAAPSLA’lar tüm kritik güvenlik açıkları için 24 saat içinde sanal yamaları garanti eder ve yönetilen hizmetler ekibi, oluşturdukları herhangi bir kuraldaki hatalı pozitifleri test eden genişletilmiş bir SOC ekibi olarak görev yapacak.
Bu grafik, her hafta keşfedilen sıfır gün güvenlik açıklarının sayısına ve AppTrana WAAP üzerindeki varsayılan kuralların ve uygulamaya özel sanal yamaların bu güvenlik açıklarını nasıl engellediğine ilişkin bilgi sağlar.
Temelleri hatırlayın:
Sıfır gün saldırısının başarısı, kuruluşun “maruz kalma penceresine” veya bir güvenlik açığının keşfedilmesi ile onu düzelten bir yamanın yayınlanması arasındaki süreye bağlıdır.
Kuruluşların, sıfır gün saldırılarının etkisini sınırlandırmak için güvenli kodlama uygulamalarını, kapsamlı güvenlik açığı yönetimini, zamanında yama uygulamasını ve en son tehdit istihbaratını birleştiren eksiksiz bir güvenlik yaklaşımını benimsemesi gerekir.
Web uygulamalarının güvenliğinin sürekli olarak izlenmesi ve geliştirilmesi, sıfır gün risklerinden kaynaklananlar da dahil olmak üzere potansiyel güvenlik açıklarının durdurulması açısından önemlidir.