Bilgisayar korsanları, öncelikle ‘sistemlere yetkisiz erişim’ elde etmek, ‘hassas verileri çalmak’ ve ‘hizmetleri aksatmak’ için mevcut güvenlik açıklarından yararlanıyor.
Bu güvenlik açıkları genellikle “yazılım hatalarından”, “yanlış yapılandırmadan” ve yama uygulanmamış “güncel olmayan sistemlerden” kaynaklanır.
Mandiant’taki siber güvenlik araştırmacıları yakın zamanda 90’dan fazla 0-Gün ve 40’tan fazla N-Gün’ün vahşi ortamda istismar edildiğini keşfetti.
Güvenlik açıklarından yararlanıldı
“Mandiant”ın 2023 yılı için yaptığı kapsamlı güvenlik açığı analizi, “138”in aktif olarak “güvenlik açıklarından” yararlandığını ortaya çıkardı.
“97 sıfır gün güvenlik açığı” ve “41 n gün güvenlik açığı” (yamanın yayınlanmasından sonra istismar edilenler) şeklinde kayda değer bir dağılım tespit ettiler.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)
En çarpıcı bulgu, “Kullanım Süresinde” (“TTE”) çarpıcı bir azalma oldu; bu azalma, “2021-2022’de 32 gün”, “2020’de 44 gün” ile karşılaştırıldığında 2023’te ortalama yalnızca beş güne düştü. -2021” ve “2018-2019’da 63 gün.”
“N-gün” ve “sıfır gün” istismarları arasındaki oran, önceki tutarlı oran olan kabaca “38:62″den önemli ölçüde “2023’te 30:70″e kaymıştır; bu, “sıfır gün” oranında önemli bir artışı göstermektedir. sömürü faaliyetleri.”
Bunun yanı sıra, özellikle “n günlük güvenlik açıkları” için kullanım zaman çizelgesi ilgili eğilimleri gösterdi: –
- Yamanın yayınlanmasından sonraki 24 saat içinde %12’sinden (5 güvenlik açığı) yararlanıldı.
- %29’u (12 güvenlik açığı) bir hafta içinde istismar edildi.
- İlk ay içinde %56’sı sömürüldü.
Dikkate değer bir vaka çalışması “CVE-2023-28121” idi, bu bir “WooCommerce Payments eklentisi güvenlik açığıdır.” Bu güvenlik kusuru, ifşa edildikten sonra üç ay boyunca hareketsiz kaldıktan sonra “istismarın kullanılabilirliğinin” saldırı zamanlamasını nasıl etkilediğini gösterdi.
.webp)
Silahlı bir istismarın piyasaya sürülmesinden sonraki sadece üç gün içinde devasa bir istismara (günde 1,3 milyon saldırı) tanık oldu.
Bu senaryo, modern siber tehditlerin giderek artan hızdaki doğasını ve hızlı güvenlik düzeltme eki uygulamasının kritik önemini vurgulamaktadır.
CVE-2023-27997 genellikle “XORtigate” olarak bilinir ve Fortinet’in FortiOS işletim sisteminin “SSL” ve “VPN” bileşenlerinde keşfedilen kritik bir “yığın tabanlı arabellek taşması” güvenlik açığıdır.
.webp)
Bu güvenlik açığı 11 Haziran 2023’te açıklandı ve potansiyel ciddiyeti nedeniyle bu güvenlik açığı hemen dikkat çekti.
“Kavram kanıtı kodu”, “güvenlik açığı tarayıcıları” ve “silahlı istismarlar” 16 Haziran itibarıyla kamuya açık hale geldi, ancak gerçek “istismar girişimleri” 12 Eylül 2023’e kadar tespit edilemedi. Bu gecikmiş yararlanma zaman çizelgesi, çeşitli teknik zorluklara bağlanıyor.
Bu güvenlik açığı, saldırganların “DEP” ve “ASLR” dahil birden fazla güvenlik korumasını atlamasını ve aynı zamanda FortiOS’un karmaşık “özel karma” ve “XOR şifreleme” mekanizmalarında gezinmesini gerektiriyor.
FortiOS’un tipik olarak önemli “sistem ayrıcalıklarına” sahip “son derece hassas ağ ortamlarında” konuşlandırıldığı gerçeği, istismarın zorluğunun daha da artmasına neden olmakla kalmıyor.
Mandiant raporuna göre, yalnızca “HTTP başlıklarının değiştirilmesini gerektirebilecek daha basit güvenlik açıklarından farklı olarak” XORtigate, güvenlik korumalarını tetiklemeden “yığın bellek alanını” başarılı bir şekilde işlemek için karmaşık yararlanma teknikleri talep ediyor.
Bu, başarılı bir şekilde kullanılması durumunda “yüksek etkili sistem güvenliği ihlali” potansiyeline rağmen, onu tehdit aktörleri için özellikle zorlu hale getiriyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar