Siber güvenlik profesyonelleri ve kötü niyetli bilgisayar korsanları arasındaki yarış 2025’te endişe verici hızlara ulaştı ve yeni veriler, açıklamadan sonraki 24 saat içinde yazılım güvenlik açıklarının dörtte birinden fazlasını kullandığını ortaya koyuyor.
Güvenlik açığı keşfi ve aktif sömürü arasındaki bu hızla daralan pencere, kuruluşları geleneksel yama döngülerini yeniden düşünmeye ve daha çevik güvenlik yanıtları uygulamaya zorlar.
Küçülen sömürü zaman çizelgesi
Son araştırmalar, güvenlik açıklarının% 28,3’ünün açıklamadan sonraki ilk 24 saat içinde kullanıldığını göstermektedir. Bu, saldırı zaman çizelgesinde önceki yıllara göre önemli bir ivmeyi temsil eder.
.png
)
Daha da önemlisi, kapsamlı bir endüstri çalışması, satıcılar tarafından bilinmeyen sıfır gün güvenlik açıkları-güvenlik kusurlarının% 80’inin, yamalar serbest bırakılmadan önce sömürüldüğünü buldu.
Güvenlik açığı ifşası ve sömürü arasındaki süre genellikle haftalardan saatlere düşmüştür. Bu, güvenlik ekiplerine geleneksel yama yönetimi yaklaşımlarını kullanarak tepki vermek için zaman ayırmaz.
Son yüksek profilli operasyonlar
2025 yılında birkaç önemli sıfır günlük güvenlik açıklaması bu rahatsız edici eğilimi örneklendirmektedir.
Nisan ayında Microsoft, CVE-2025-29824 olarak izlenen Windows Ortak Günlük Dosyası Sisteminde (CLFS) sıfır günlük bir güvenlik açığının, BT, gayrimenkul, finansal hizmetler ve perakende de dahil olmak üzere birden fazla sektördeki kuruluşlara karşı fidye yazılımı dağıtmak için aktif olarak sömürüldüğünü açıkladı.
Benzer şekilde, Onapsis araştırma laboratuvarları, Ocak 2025’te keşif faaliyeti ile başlayan ve Şubat ayında sömürü girişimleriyle devam eden bir SAP sıfır gün güvenlik açığının (CVE-2025-31324) aktif olarak sömürülmesini belgeledi.
Mart ayına kadar, birden fazla kuruluş web kabuklarını dağıtmak için başarılı uzlaşmalar bildirmişti.
VMware kullanıcıları, Mart ayında üç sıfır günlük güvenlik açığı (CVE-2025-22224, CVE-2025-22225 ve CVE-2025-22226) keşfedildiğinde benzer zorluklarla karşılaştı.
En şiddetli kusurun kritik bir CVSS skoru 9.3’tür ve sanal makinelerde idari ayrıcalıklara sahip saldırganların VM sanal alanından kaçmasına ve hipervizörlere yetkisiz erişim kazanmasına izin verir.
Giderek daha fazla hedeflenen kurumsal sistemler
Bu saldırıların sofistike olması, kurumsal teknolojilere yönelik kayda değer bir pivot ile hedefleme stratejilerinde daha geniş bir değişime işaret ediyor.
İşletme odaklı teknoloji hedeflemesi genişlemeye devam ediyor. 2023’te sıfır günlük güvenlik açıklarının% 37’si kurumsal ürünleri hedefledi. Bu, 2024 yılında, öncelikle güvenlik ve ağ yazılım ve cihazlarının artan kullanımı nedeniyle% 44’e yükseldi.
Hızlandırılmış yamaya acil ihtiyaç, devlet kurumlarından daha fazla katılım sağlamıştır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ölçülebilir bir etkiye sahip gibi görünen bilinen sömürülen güvenlik açıklarını (KEV) kataloğunu sürdürmektedir.
Araştırmalar, kuruluşların CVE listeleyen hataları diğer güvenlik açıklarından 3,5 kat daha hızlı bir şekilde yamaladığını ortaya koydu.
KEV listesindeki böceklerin iyileştirilmesi için medyan süresi 174 gündür, KEV listesi olmayan güvenlik açıkları için süresi 621 gündür. Fidye yazılımı aktörleri tarafından hedeflendiği bilinen daha fazla anlatan, güvenlik açıkları, diğer KEV listeleyen kusurlardan ortalama 2,5 kat daha hızlı yamalıdır.
Son güvenlik açıklarının yamalanmasında ilerlemeye rağmen, güvenlik uzmanları daha eski, tanınmış kusurların önemli riskler oluşturmaya devam ettiği konusunda uyarıyor.
Log4Shell’i (CVE-2021-44228) keşfettikten üç yıl sonra, araştırmalar Java uygulamalarının% 12’sinin hala savunmasız kütüphane sürümleri yürüttüğünü gösteriyor.
Bu kalıcı güvenlik açığı boşluğu, kuruluşların karmaşık BT ortamlarında kapsamlı yama kapsamını sürdürmede devam eden zorlukları vurgulamaktadır.
İleriye giden yol
Güvenlik uzmanları, hızlanan tehdit manzarasını ele almak için çeşitli yaklaşımlar önermektedir: birçok kuruluş aylık güncellemeler gibi düzenli yama programları uygular. Buna karşılık, şiddetli güvenlik açıkları için acil yamalar derhal dikkat gerektirebilir.
Zaman çizelgesi genellikle federal ajanslar için daha da sıkıştırılmıştır. Log4J güvenlik açığının açıklanmasının ardından CISA, federal kurumların hemen yama yapmasını veya etkilenen yazılımı ağlarından kaldırmasını gerektiren bir acil durum direktifi yayınladı.
Sömürü zaman çizelgeleri sıkışmaya devam ettikçe, hızlı yama yeteneklerini uygulamayan kuruluşlar giderek daha önemli risklerle karşı karşıyadır.
Kanıtlar, geleneksel aylık yama döngülerinin artık güvenlik açığı açıklanmasından sonraki saatler içinde grev yapabilecek modern tehditlere karşı korunmak için yeterli olmadığını göstermektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!