Qualys araştırmacılarının bugün yayınladığı yeni verilere göre, 2024’ün ilk yedi buçuk ayında yeni açıklanan yaygın güvenlik açıkları ve risklerin (CVE) sayısı bir önceki yıla göre %30 artarak 17.114’ten 22.254’e çıktı.
Ve ilginçtir ki, Qualys, bu devasa sayıdaki kusurdan sadece yüzde biri, yani 204’ü veya %0,9’u tehdit aktörleri tarafından silahlandırıldı. Bunların çoğu, ilk erişimi elde etmek ve yanal hareket yürütmek için yararlı olan halka açık uygulamaları veya uzaktan servisleri istismar ediyor.
Qualys, bu istatistiğin ilk bakışta iyi bir haber gibi görünebileceğini ancak siber profesyoneller için yalnızca çok küçük bir teselli sunduğunu, çünkü bu tür güvenlik açıklarının hâlâ önemli bir tehdit oluşturduğunu ve giderek daha odaklı savunma önlemleri gerektirdiğini söyledi.
Qualys’in Tehdit Araştırma Birimi (TRU) ürün müdürü Saeed Abbasi, “Bu çok küçük güvenlik açığı kesri en ciddi tehditleri oluşturur. Bu alt küme, silahlandırılmış istismarlar, fidye yazılımı aracılığıyla aktif istismar, tehdit aktörleri tarafından kullanım, kötü amaçlı yazılım veya doğrulanmış vahşi istismar örnekleriyle karakterize edilen en yüksek riski temsil eder” diye yazdı.
“Bu tür tehditleri etkili bir şekilde azaltmak için, aktif olarak istismar edilen güvenlik açıklarına öncelik vermek, tehdit istihbaratından yararlanmak ve yeni güvenlik açıklarını tespit etmek için düzenli olarak taramalar planlamak hayati önem taşıyor. Tehdit istihbaratını entegre eden bir güvenlik açığı yönetim aracı, bir kuruluş için hayati önem taşıyabilir” dedi.
Qualys’in kendi veri toplama ve analiz çalışmasına göre, 2024 yılında şu ana kadar en çok istismar edilen güvenlik açıkları şunlardır:
- CVE-2024-21887, Ivanti Connect ve Policy Secure Web’de bir komut enjeksiyon açığıdır;
- CVE-2023-46805, Ivanti Connect ve Policy Secure Web’de uzaktan kimlik doğrulama atlama açığı;
- CVE-2024-21412, Microsoft Windows’daki bir güvenlik özelliği atlama açığıdır;
- CVE-2024-21893, Ivanti Connect ve Policy Secure Web’de ayrıcalık yükseltme hatası;
- Palo Alto Networks PAN-OS’ta bir komut enjeksiyon açığı olan CVE-2024-3400;
- CVE-2024-1709, ConnectWise ScreenConnect’te bir kimlik doğrulama atlama açığı;
- CVE-2024-20399, Cisco NX-OS Yazılımında bir komut satırı arayüzü komut enjeksiyon hatasıdır;
- Jenkins Core’da uzaktan kod yürütme hatası olan CVE-2024-23897;
- CVE-2024-21762, Fortinet FortiOS’ta sınır dışı yazma hatası;
- CVE-2023-38112, Microsoft Windows’da bir MSHTLM platformu sahteciliği açığıdır.
Jenkins Core açığı hariç, Qualys’in ilk 10’unda yer alan tüm güvenlik açıkları, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Amerikan hükümet organları genelinde yama yapılmasını zorunlu kılan Bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğunda da yer alıyor.
Bu güvenlik açıklarının birçoğu, özellikle Ivanti’nin ürün setindeki ve ConnectWise ScreenConnect’tekiler, yılın şu ana kadarki en etkili siber güvenlik olaylarının bazılarının merkezinde yer aldı. Listedeki son güvenlik açığı, Windows MSHTML Platformu’nda, yalnızca birkaç hafta önce Temmuz Patch Tuesday güncellemesinde açıklandı ve muhtemelen 2023’ten beri istismar edilmiş olsa da, Qualys’in en iyi 10 listesinde yer alması, yöneticilere tehdit aktörlerinin duyurulan güvenlik açıklarını ne kadar hızlı fark ettikleri konusunda bir uyarı niteliğindedir.
Eski zaaflar değerlerini kanıtlıyor
Abbasi, CVE hacimlerindeki genel artış eğiliminin, güvenlik açığı keşfinde “kalıcı ve önemli bir artış” olduğunu gösterdiğini açıkladı.
“CVE’lerdeki artış, artan yazılım karmaşıklığını ve teknolojinin daha geniş kullanımını yansıtıyor ve bu da gelişen siber güvenlik tehditlerini azaltmak için gelişmiş ve dinamik güvenlik açığı yönetim stratejilerinin gerekliliğini ortaya koyuyor” dedi.
Ancak Qualys TRU’nun analizi bu yıl eski CVE’lerin silahlandırılmasında da bir artış olduğunu gösterdi. Eski hatalar sıklıkla tekrar ortaya çıksa ve istismarlar ifşadan çok sonra geliştirilse de, bu yıl bu tür faaliyetlerde %10’luk bir artış oldu. Abbasi, bunun güvenliğin yalnızca tehdit aktörlerinin önünde kalmakla ilgili olmadığını, aynı zamanda onların gerisinde kalmamakla ilgili olduğunu gösteren “sert bir hatırlatma” olduğunu söyledi.
Dolaşımda olan eski silahlandırılmış güvenlik açıklarının çoğu aylardır karanlık web’de trend oluyor, bunlardan en belirgin olanı sağlık sektörü tarafından yoğun olarak kullanılan NextGen Mirth Connect Java XStream’deki CVE-2023-43208. Ve tam bu hafta, Cisco Talos araştırmacıları bir Tayvanlı kurbana karşı kullanılan bir saldırı zincirinde Çin hükümetine ait bir APT tarafından neşeyle istismar edildiğini bulduktan sonra CISA, Microsoft COM’daki altı yıllık bir uzaktan kod yürütme hatasını KEV kataloğuna ekledi.
Abbasi, “Önceden belirlenen ve esas olarak uzaktan hizmetleri ve kamuya açık uygulamaları etkileyen güvenlik açıklarının bu şekilde yeniden ortaya çıkması, siber güvenlik protokollerinin güncellenmesi ve uygulanmasında önemli bir gözetim eksikliğini vurguluyor. Bu yeniden ortaya çıkış, tamamen reaktif bir güvenlik duruşundan daha proaktif, öngörücü ve önleyici bir yaklaşıma geçme ihtiyacını vurguluyor” diye tavsiyede bulundu.