Tehdit avcıları ve savunucuları kötü bir devam filminin açılış sahnelerinde 2025’e başladı. Ocak ayının ilk haftalarında, Federal siber yetkililer ve araştırmacılar, saldırganların bir kez daha yararlandığı konusunda bir kez daha uyardı Ivanti Connect Secure’de sıfır gün güvenlik açığı.
Kritik kimlik doğrulanmamış Yığın Tabanlı Tampon Taşma Güvenlik Açığı, CVE-2025-0282sömürüldü ve daha sonra bir tehdit grubunun sömürülmesinden neredeyse bir yıl sonra keşfedildi A ayrı sıfır gün çift – CVE-2023-46805 Ve CVE-2024-21887 – Aynı Ivanti ürününde.
Aynı satıcıdan aynı üründeki yeni yazılım kusurlarının patlak vermesi, o kadar sık olmasaydı daha az sinir bozucu olacak ve işletmeler için istikrarsız bir ortam sağlayacaktır. Ağ aygıtları ve hizmet kuruluşlarındaki sömürülen güvenlik açıkları, savunma için güvenmek için güvenir.
Güvenlik donanımları ve kurumsal ağların çevresinde çalışan hizmetler – güvenlik duvarlarından ve VPN’lerden yönlendiricilere kadar – siber saldırılar için yaygın ve kalıcı bir saldırı noktasıdır.
Son iki yılda, finansal olarak motive edilmiş ve ulus-devlet bağlantılı saldırganlar Barracuda– Cisco– Citrix– Fortinet– İri– Ardıç– Palo Alto NetworksVe Sonikwalldiğerleri arasında.
Ağ Güvenlik Aracı istismarları, devlet kurumlarından Boeing ve Comcast dahil olmak üzere dünyanın en değerli kamu ticareti şirketlerinden bazılarına kadar sektörlerdeki kuruluşlara sahiptir.
Siber güvenlik ve altyapı güvenlik ajansı, saldırı sırasında kullanılan ajansın uzaktan erişim vpn’si Ivanti Connect Secure’deki 2024 başlarında sıfır günlük istismarların başında olanlar arasındaydı.
“Sürekli güvenlik açıkları akışından yorgunluk hissetmek kolaydır, ancak bu tür bir başlangıç erişim Ağ cihazlarındaki güvenlik açığı, şiddetli sömürü nedeniyle özellikle tehlikelidir. sonuçları, ”dedi Himaja Minam, Censys Güvenlik Araştırmacısı.
Ağ güvenlik cihazlarında çelişkiler bol
Kuruluşlar, savunmalarını iyileştirmek ve müdahaleleri önlemek için güvenlik duvarı ve VPN’leri satın alır ve dağıtırlar. Bu alımlar ve dağıtımlar tarafından işlenen istenmeyen sonrasında, müşterilerin ağ güvenlik donanımı ile neye ulaşmaya çalıştıklarının amacıyla çelişmektedir.
Kötü niyetli bilgisayar korsanları Edge cihazlarındaki güvenlik açıklarından yararlandığında, vurulan satıcılar değil – bu onların müşterisi.
“Sürekli güvenlik açıkları akışından yorgunluk hissetmek kolaydır, ancak ağ cihazlarındaki bu tür ilk erişim güvenlik açığı, şiddetli sömürme sonrası sonuçlar nedeniyle özellikle tehlikelidir.”
Himaja Menham
Censys’de Güvenlik Araştırmacısı
Kendini yöneten VPN’ler gibi uzaktan erişim araçları Fidye yazılımı saldırıları için birincil saldırı noktası 2023’te 5 saldırıdan 3’ü oluşturuyoraraştırmaya göre Siber Güvenlik Sigorta Şirketi At-Bay.
Network Edge Cihazlarını düşünmeyen işletmeler, potansiyel bir risk ağlarını açığa çıkarmaktır. Daha güçlü güvenlik açığı yönetimi programları, kuruluşların istismarlardan kaçınmasına yardımcı olabilir, ancak aktif olarak sömürülen sıfır gün veya kamuya açıklanan ancak satıcı tarafından henüz sabit olmayan güvenlik açıklarına karşı savunmak için yapabilecekleri çok az şey vardır.
Kyle Hanslovan, “Bütün gün yüzünüzde bir şey değilse, unutmak çok kolay” dedi. Huntress’te CEOA Yönetilen EDR satıcısı.
Saldırganlar, ağ güvenlik donanımını birden fazla nedenden dolayı ana hedef olarak görüyor. Saldırganların hedefleriyle uyum sağlayan son derece ayrıcalıklı erişim ve kontrol dahil olmak üzere yetenekler sağlarlar, John Dwyer, İkili Savunma Güvenlik Araştırma Direktörü.
“Onları ağımızda başka bir varlık yaptığımızla aynı incelemeyle düşünmüyoruz ve bence bu bir yanlış anlama,” Düetdedi. “Günün sonunda, güvenlik araçlarının negatiflerden daha fazla faydası var, ancak ağınızdaki her varlık bir saldırı vektörü.”
Güvenlik Duvarı Satış Hesabı Ağ Güvenlik piyasasındaki tüm gelirlerin neredeyse yarısına göre, dedi Mauricio Sanchez, Dell’oro Group’ta Enterprise Güvenlik ve Ağ Araştırmaları Kıdemli Direktörü.
“Günün sonunda, güvenlik araçlarının negatiflerden daha fazla faydası var, ancak ağınızdaki her varlık bir saldırı vektörü.”
John Dwyer
İkili Savunma Güvenlik Araştırma Direktörü
Palo Alto Networks, Dell’oro Group ve Gartner’ın araştırmalarıyla, 2024’ün ikinci çeyreğini pazarın% 29 payı ile kapatarak güvenlik duvarı segmentinde komuta kurşununa sahip. Güvenlik duvarı segmentindeki en yakın rakipler arasında Fortinet, Cisco ve Check Point Software Technologies yer alıyor.
Siber Güvenlik ve Altyapı Güvenlik Ajansı’na göre, saldırganlar geçen yıl bu satıcıların güvenlik duvarlarının veya VPN’lerinin her birindeki güvenlik açıklarından aktif olarak yararlandı. Bilinen sömürülen güvenlik açıkları kataloğu.
Güvenlik Duvarları ve VPN’ler – Bir Güvenlik Paradoksu
Sıfır günlük saldırılar ve istismarlar için güvenlik ekipmanlarını ve hizmetlerini hedefleyen tehdit grupları da ağ güvenlik mimarisindeki doğal bir zayıflığın farkındadır.
Güvenlik duvarları, yönlendiriciler, VPN’ler ve VMware hipervizörleri “Genellikle uç nokta algılama ve yanıt çözümlerini desteklemez,” Beany Consulting Sto Charles Charles Charles Charles Geçen yıl RSA Konferansı’ndaki bir medya brifingi sırasında söyledi.
Bu sistemler, yöneticilerin bir cihaza giriş yapmasına, işletim sistemi komut satırını görüntülemesine ve sistemdeki dosyaları görüntülemesine izin vermez, Karmakal söz konusu. Bu dezavantaj “kurban örgütlerinin cihazlarının tehlikeye atıldığını ve kötü amaçlı yazılımın konuşlandırıldığını bile keşfetmeleri için büyük bir zorluk yaratıyor.”
“Sadece görülemedikleri ağın köşesinde kalıyorlar. Bunu her zaman görüyorsun. “
Sam Rubin
Palo Alto Networks’ün Olay Müdahale Firması Birimi 42’de Danışmanlık ve Tehdit İstihbaratı SVP’si
VPN aletleri, yönlendiriciler ve güvenlik duvarları için EDR ürünleri mevcut değildir. Hanslovan, “Gömülü bir cihazda gerçekten bir şeyler çalıştırmak zor, minimal” dedi.
Bu hafif cihazların verileri aşırı verimlilikle işlemesi gerekir ve bu alandaki satıcılar üçüncü taraf yazılımlarının kitlerinde veya sistemlerinde çalışmasına izin vermez.
“Bu cihazlara bir aracı yükleyemezsiniz. Onları açıp olay tepkisi yapamazsınız ”dedi Rapid7’de SVP ve Baş Bilim Adamı Raj Samani. “Bu yüzden hedefleniyorlar.”
Bir kuruluşun ağına dayanak kazanmak isteyen tehdit grupları “algılama yeteneğine sahip olmayan sistemler üzerinde çalışıyor” dedi. Sam Rubin, Palo Alto Networks’ün Olay Müdahale Firması Birimi 42’de Danışmanlık ve Tehdit İstihbaratı SVP’si.
“Sadece görülemedikleri ağın köşesinde kalıyorlar. Bunu her zaman görüyorsun, ”dedi Rubin.
Burada kalmak için kenar cihazları
Güvenlik duvarlarındaki, VPN’lerde ve diğer ağ kenar cihazlarındaki yazılım kusurlarıyla bağlantılı istikrarlı saldırı barajına rağmen, siber güvenlik uzmanları onların yapışmasını bekliyor.
Deloitte küresel siber lideri Emily Mossburg, “Güvenlik duvarlarına ve VPN’lere karşı bir isyan olduğu bir dünya görmüyorum” dedi. “Güvenlik duvarları ve VPN’ler o kadar yerleşmiş ki, gittiklerini görmeyeceksiniz.”
Güvenlik uzmanları siber güvenlik uzmanları, kurumsal ağ güvenliğindeki çözülmemiş sorunların kenar cihazlarından daha derine inmesi ve gözetim veya uç nokta tespiti eksikliği.
Hanslovan, “Önce kültürel ve mimari değişikliklerden yeterince sormuyoruz” dedi. “Bazı açılardan EDR, temel nedene daha fazla vurgu yapmak yerine bir semptom, önemli bir semptomu ele alıyor.”
Hanslovan, kuruluşlar hızla dijital dönüşümü ve yeniliği benimsiyor, ancak eski teknoloji borcunu yeterince hızlı bir şekilde ödemiyorlar.
“Donanımla ilgili olan şey, güncellemenin çok zor olmasıdır-eğer güncellenirse, eğer lif-sonu olmadıysa, üretici hala işteyse.”
Sherrod Degrippo
Microsoft’ta Tehdit İstihbarat Stratejisi Direktörü
Ağ çevre mimarilerinin ve güvenlik süreçlerinin yerleşik çerçeveleri, savunucuları sürekli bir endişe durumuna sokar. Tehdit gruplarının yaratıcılığı ve kalıcılığı, bu sistemlerde delikler bulmalarına ve zayıf yönlerini avlayarak mağdur ortamlarda daha derin kontrolü güreşmelerine olanak tanır.
“Donanımla ilgili olan şey, güncellemenin çok zor olmasıdır-eğer güncellenirse, lif-sonu olmadıysa, üretici hala işteyse” dedi. Sherrod Degrippo, Microsoft’ta Tehdit İstihbarat Stratejisi Direktörü.
“Buna daha iyi bir çözüm bulmalıyız,” dedi Degrippo. “Bence [the] Enterprise maalesef bu cihazlardan bazılarını, gerçekten ev sahibi olmayan şeyleri güncellemenin daha zor yönünü incelemek ve bunları güvenlik açığı programlarına dahil etmeye başlamak zorunda. ”