FBI, NSA ve Beş Göz istihbarat ağı içindeki müttefik kurumlar, 2023’te en çok istismar edilen 15 güvenlik açığının bir listesini yayınladı. Siber güvenlik danışmanlığı, ulusal siber güvenlik yetkilileriyle birlikte Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yürütülen ortak bir çalışmadır. Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık, dünya çapındaki kuruluşlara bu güvenlik açıklarını gidermeye öncelik vermeleri yönünde çağrıda bulunuyor. Uyarı belgesi, kötü niyetli aktörlerin 2023’te 2022’ye kıyasla daha fazla sıfır gün güvenlik açığından yararlanarak kritik kurumsal ağları açığa çıkardığını vurguluyor.
Yamaların yayınlanmasından önce istismar edilen bu sıfır gün güvenlik açıkları, siber aktörlerin yüksek öncelikli hedefleri minimum dirençle ele geçirmesine olanak sağladı.
Tavsiye belgesi ayrıca kuruluşların daha fazla maruz kalmayı önlemek için güçlü yama yönetim sistemleri kurma ihtiyacını da vurguluyor.
Sıfır Gün Güvenlik Açıkları: Arka Plan ve Amaç
Beş Göz ittifakındaki siber güvenlik kurumları tarafından geliştirilen danışma belgesi, 2023’te en çok yararlanılan güvenlik açıklarına ve ilgili risklere ilişkin kritik bilgiler sağlamayı amaçlıyor. Bu sürüm, hem geliştiriciler hem de kuruluşlar için bir referans görevi görüyor ve onlara güvenlik açığına karşı proaktif bir yaklaşım benimsemelerini tavsiye ediyor. yönetim ve güvenlikle ilgili en iyi uygulamalar.
Yazarlık ajansları şunları içeriyordu:
- Amerika Birleşik Devletleri: CISA, FBI ve NSA
- Avustralya: Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ACSC)
- Kanada: Kanada Siber Güvenlik Merkezi (CCCS)
- Yeni Zelanda: Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ) ve CERT NZ
- Birleşik Krallık: Ulusal Siber Güvenlik Merkezi (NCSC-UK)
Temel Bulgular
Raporun bulguları büyüyen bir eğilimin altını çiziyor: 2023’te, en çok yararlanılan güvenlik açıklarının çoğunluğu ilk olarak sıfır gün olarak istismar edildi; bu, yamalar mevcut olmadan önce daha az güvenlik açığından yararlanılan önceki yıla göre bir artıştı. Özellikle siber aktörler, güvenlik açıklarından yararlanma konusunda en başarılı olanları, ifşa edildikten sonraki ilk iki yıl içinde gösterdiler.
Aşağıdaki Tablo 1, 2023 yılı boyunca en çok yararlanılan 15 güvenlik açığını listelemektedir. Tablo, her bir güvenlik açığının Ortak Güvenlik Açıkları ve Etkilenme (CVE) tanımlayıcısının yanı sıra etkilenen platformları ve yararlanma ayrıntılarını içerir.
| CVE | platformu | Güvenlik Açığı Ayrıntıları |
|---|---|---|
| CVE-2023-3519 | Citrix NetScaler ADC ve Ağ Geçidi | HTTP GET isteği yoluyla yığın arabelleği taşmasına neden olur |
| CVE-2023-4966 | Citrix NetScaler ADC ve Ağ Geçidi | Oturum jetonu sızıntısı, PoC Ekim 2023’te ortaya çıktı |
| CVE-2023-20198 | CiscoIOS | Yetkisiz erişim; yerel kullanıcı oluşturulmasına izin verir |
| CVE-2023-20273 | Cisco IOS XE | Yerel kullanıcı oluşturulduktan sonra ayrıcalıkları root’a yükseltir |
| CVE-2023-27997 | Fortinet FortiOS ve FortiProxy SSL-VPN | Hazırlanmış istekler aracılığıyla uzaktan kod yürütme |
| CVE-2023-34362 | İlerleme MOVEit Transferi | SQL enjeksiyonu, sistem yöneticisi erişimine ve uzaktan kod yürütmeye izin verir |
| CVE-2023-22515 | Atlassian Kavşağı | Uygunsuz giriş doğrulamasından yararlanır; yönetici kullanıcıyı ekler |
| CVE-2021-44228 | Apache Log4j (Log4Shell) | Kod yürütme güvenlik açığı; Aralık 2021’den beri aktif |
| CVE-2023-2868 | Barracuda ESG Cihazı | Yetkisiz erişim ve uzaktan komut yürütme |
| CVE-2022-47966 | Zoho ManageEngine | SAML uç noktası aracılığıyla rastgele kod çalıştırır |
| CVE-2023-27350 | PaperCut MF/NG | Kimlik doğrulamayı atlar, kodu komut dosyası aracılığıyla çalıştırır |
| CVE-2020-1472 | Microsoft Netlogon’u | Güvenli kanal kullanımı yoluyla ayrıcalık artışı |
| CVE-2023-42793 | JetBrains TeamCity | Kimlik doğrulama bypass’ı uzaktan kod yürütülmesine olanak tanır |
| CVE-2023-23397 | Microsoft Outlook | Özel hazırlanmış e-postalar yoluyla ayrıcalık artışı |
| CVE-2023-49103 | ownCloud grafikleri | Hassas yönetici verilerine kimliği doğrulanmamış erişim |
Önerilen Azaltmalar
Tavsiye belgesi, kuruluşların ağlarını bu güvenlik açıklarına karşı korumalarına yardımcı olacak eyleme geçirilebilir öneriler içerir. İşte temel önlemlerin bir özeti:
Geliştiriciler ve Satıcılar için
- Güvenli Yazılım Geliştirme: Yazılım Geliştirme Yaşam Döngüsünün (SDLC) her aşamasında güvenliği entegre ederek güvenli tasarım ilkelerini izleyin.
- SP 800-218 SSDF Uyumluluğu: Güvenlik açıklarını belirlemek ve azaltmak için eş kod incelemeleri, güvenlik açığı açıklama programları ve statik ve dinamik uygulama güvenlik testleri (SAST/DAST) gibi güvenli uygulamaları uygulayın.
- Varsayılan Yapılandırmalarla Güvenli: Varsayılan şifreleri ortadan kaldırın, tek oturum açma (SSO) teknolojisini kullanın ve yüksek kalitede denetim günlükleri tutun.
Son Kullanıcı Kuruluşları İçin
- Yama Yönetimi: Danışma belgesinde listelenen bilinen istismar edilen güvenlik açıklarına (KEV’ler) yama uygulanmasına öncelik vererek sistemleri düzenli olarak güncelleyin.
- Güvenlik Araçları: Sıfır gün kötüye kullanım girişimlerini tespit etmek ve bunlara yanıt vermek için uç nokta algılama ve yanıt (EDR) sistemlerini, web uygulaması güvenlik duvarlarını ve ağ protokolü analizörlerini devreye alın.
- Güvenli Yapılandırmalar: Gereksiz açıkları azaltmak ve genel güvenlik dayanıklılığını artırmak için güvenli varsayılan yapılandırmaları zorunlu kılın.
Güvenlik Merkezli Geliştirme Yaşam Döngülerinin Uygulanması
Tavsiye belgesi, güvenlik merkezli ürün geliştirme yaşam döngülerinin uygulanmasını teşvik ederek kapsamlı testler ve tehdit modelleme yoluyla güvenlik açığına maruz kalmayı azaltır. Geliştiriciler, geliştirme sürecini bu uygulamalarla geliştirerek güvenlik açıklarını daha iyi önleyebilir ve maliyetli ve zaman alıcı olabilen dağıtım sonrası yama ihtiyacını en aza indirebilir.
Güvenlik Açığı Açıklama Programlarının Teşvik Edilmesi
Siber güvenlik danışmanlığı, güvenlik açığının sorumlu bir şekilde ifşa edilmesine yönelik teşviklerin artırılmasını savunuyor ve etik güvenlik açığı raporlamasını teşvik etmek için hata ödülleri gibi programlar öneriyor. Bu programlar yalnızca araştırmacılara tazminat ödemekle kalmıyor, aynı zamanda potansiyel güvenlik kusurlarının daha hızlı tanımlanmasını ve iyileştirilmesini de destekliyor.
Gelişmiş Tespit Araçlarının Önemi
Gelişmiş tespit araçlarının, özellikle de EDR çözümlerinin kullanılması, sıfırıncı günün tespit edilmesine ve azaltılmasına önemli ölçüde yardımcı olabilir. Örneğin, 2023’te en çok istismar edilen güvenlik açıklarından en az üçü, şüpheli etkinlik bildirildiğinde EDR veya diğer tespit yöntemleri kullanılarak belirlendi.
Önerileri takip ederek ve bu bilinen istismarlara proaktif bir şekilde müdahale ederek, kuruluşlar riskleri etkili bir şekilde azaltabilir ve giderek daha karmaşık hale gelen siber tehditlere karşı savunma yapabilir.
Güvenlik açıkları ve öneriler hakkında daha fazla bilgi için kuruluşların CISA’nın tüm tavsiyelerini incelemeleri önerilir.