Google’ın Tehdit İstihbarat Grubu (GTIG), 2024’ün Saldırganların tarayıcılar ve mobil cihazlar gibi geleneksel tüketici platformları üzerinde kurumsal yazılım ve altyapıyı nasıl hedeflediklerini detaylandıran yıllık sıfır gün sömürüsü analizini yayınladı.
Toplam sıfır gün sayısı 2023’te 98’den 2024’te 75’e düşerken, veriler olumsuz davranışlarda sürekli bir evrime ve kurumsal teknoloji yığınlarının daha sofistike hedeflenmesine işaret ediyor.
Kurumsal Araç Saldırıları Hit Rekor
Kurumsal yazılım ve ağ aletleri, 2024’te kullanılan tüm sıfır günlük güvenlik açıklarının% 44’ünü oluşturdu-rekor yüksekti. Gtig bildirilmiş Bu tehdit aktörleri, VPN’ler, güvenlik ağ geçitleri ve bulut altyapı araçları gibi ürünlere yöneldi, organizasyonel ağlardaki ayrıcalıklı konumlarını ve uç nokta tespitini atlama potansiyellerini tanıyorlardı.
En çok hedeflenenler arasında Ivanti, Palo Alto Networks ve Cisco ürünleri vardı. Bu sistemlerdeki istismarlar genellikle uzaktan kod yürütülmesine veya ayrıcalık artışına izin verilir ve genellikle istismar zinciri gerektirmez. Bu vardiya, işletme savunucuları için genişleyen bir tehdit yüzeyine işaret ediyor ve asgari maruziyetle yüksek etkili müdahaleler için optimize eden saldırganlara işaret ediyor.
Dikkate değer bir bükülmede, güvenlik yazılımının kendisi sık bir hedef olarak ortaya çıktı. GTIG, ağ oluşturma ve güvenlik araçlarında sömürülen 20 sıfır gün gözlemledi-işletmeye özgü tüm sıfır günlerin% 60’ında. Bu araçlar son derece çekicidir, çünkü korudukları altyapıya derinden gömülüdürler ve genellikle geleneksel uç nokta tespit ve yanıt (EDR) araçları ile izlenmez.
GTIG, bu ürünlerdeki güvenlik açıklarının saldırganlara derhal yüksek erişim sağlayabileceğini söyledi. Rapor, EDR satıcılarının görünürlük stratejilerini giderek daha fazla hedeflenen bu platformları hesaba katacak şekilde uyarlamaları çağrısında bulundu.
Son kullanıcı platformları: göreceli bir düşüş
Son kullanıcı teknolojileri hala sıfır gün aktivitesinin çoğunluğunu oluştursa da (%56) GTIG, tarayıcılar ve mobil platformlar için sömürüde önemli bir düşüş gördü. Chrome en hedefli tarayıcı olarak kaldı, ancak saldırılar yaklaşık üçte bir düştü. Mobil sıfır gün kullanımı bir önceki yıla göre yarıya indi.
Buna karşılık, Windows istismarı tekrar yükseldi-önceki yıl 16’dan Microsoft’un işletim sisteminde 22 sıfır günü izlendi. İşletme ve ev ortamlarında hala her yerde bulunan pencerelerle, tehdit aktörleri zincirleme ayrıcalığına yükselme hataları ve çekirdek istismarlarında değer bulmaya devam ediyor.
İstismarların arkasındaki oyuncular
Devlet destekli casusluk, atfedilen tüm vakaların% 50’sinden fazlasını oluşturan sıfır gün kullanımının arkasındaki birincil sürücü olmaya devam etmektedir. PRC’ye bağlı aktörler, UNC5221 tarafından yürütülen gibi karmaşık kampanyalarda, öncelikle Ivanti cihazlarında olmak üzere beş sıfır gün sömürdü.
Bu arada Kuzey Kore grupları, ilk kez Çin ile bağlandı ve beş sıfır gün sömürdü. Bu kampanyalar genellikle casusluğu reklam sahtekarlığı ve fidye yazılımı öncüleri gibi finansal olarak motive edilmiş saldırılarla harmanladı.
Cellebrite gibi ticari gözetim satıcıları (CSV’ler), özellikle fiziksel erişim saldırı zincirlerinde önemli bir rol oynamaya devam etti. GTIG, 2023’ten daha az CSV tarafından atıfta bulunulan sıfır günleri kaydetmesine rağmen, araştırmacılar bu düşüşü azaltılmış faaliyetten ziyade operasyonel güvenliğe bağladılar.
Saldırılan güvenlik açığı türlerinin çoğu
Üç güvenlik açığı türü 2024’te grafiklere yol açtı: kullanılmadan, komut enjeksiyonu ve siteler arası komut dosyası. Bunların birçoğu çekirdek kurumsal araçlara bağlıydı, bu da saldırganların kasıtlı olarak sistemik zayıflıklar aradığını gösteriyor.
Google’ın raporu, tehlikeye atılan web sitelerini ziyaret eden hükümet kullanıcılarından kimlik doğrulama çerezlerini çalmak için bir webkit istismar zincirinde birlikte kullanılan temel örnekler olarak CVE-2024-44308 ve CVE-2024-44309’u aldı. Başka bir durumda, puro tehdidi grubu, sistem için bir kum havuzu tarayıcı işleminden ayrıcalıkları artırmak için Firefox’ta CVE-2024-49039’dan yararlandı.
Önde ne var
GTIG, kurumsal ürün hedeflemesinin 2025’te daha da büyümesini bekliyor. Raporda, iş altyapısı ve güvenlik yazılımlarının satıcılarını güvenli tasarım ilkelerine yatırım yapmaya, sıfır tröst mimarilerini kucaklamaya ve uzaktan erişim yollarını sertleştirmeye çağırıyor.
Daha geniş bir şekilde Google, sıfır gün önlenmesinin hızlı bir şekilde yama yapmakla ilgili olmadığını söylüyor. Güvenlik açığı kullanılırsa patlama yarıçapını sınırlayan proaktif hafifletme stratejileri, daha sıkı erişim kontrolleri ve mimari kararları içerir.
Raporda, saldırganlar savunucuların göz ardı ettiklerini öğreniyorlar. Endüstrinin sadece uç noktaları değil, onları güvence altına alan sistemleri savunmak için gelişmesi gerekiyor.
Skor tutanlar için, sıfır günler bu yıl hacim düşmüş olabilir, ancak daha akıllı, daha sert ve kurumsal dünyaya çok daha tehlikeli oldular.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.