Ülkenin siber güvenlik duruşunu iyileştirmekle görevli ABD devlet kurumu, tüm federal sivil kurumlara İnternet’e açık ağ ekipmanlarına erişimi kısıtlamak için yeni önlemler almalarını emrediyor. Yönerge, yaygın olarak kullanılan güvenlik ve ağ cihazlarında önceden bilinmeyen güvenlik açıklarını hedef alan saldırılardaki artışın ortasında geliyor.
tarafından yeni bir sipariş kapsamında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların, yanlış yapılandırılmış veya İnternet’e açık ağ ekipmanı hakkında CISA’dan gelen herhangi bir rapora yanıt vermek için 14 günü olacaktır. Yönerge, uzaktan kimlik doğrulama veya yönetime izin veren güvenlik duvarları, yönlendiriciler ve yük dengeleyiciler gibi tüm ağ aygıtları için geçerlidir.
Karar, federal departmanların, yalnızca bir kurumun yerel veya dahili ağındaki yetkili kullanıcıların bu cihazların yönetim arayüzlerine erişebilmesi için erişimi sınırlamasını gerektiriyor. CISA’nın yetkisi, saldırganların kurban kuruluşlara fidye yazılımı ve siber casusluk saldırıları gerçekleştirmek için popüler ağ ürünlerindeki sıfır gün kusurlarından yararlandığı bir dizi son saldırıyı takip ediyor.
Bugün erken saatlerde, olay müdahale firması Mandiant en az Ekim 2022’den beri Çinli siber casusların Kaliforniya merkezli şirketler tarafından satılan birçok e-posta güvenlik ağ geçidi (ESG) cihazındaki sıfırıncı gün güvenlik açığından yararlandığını ortaya çıkardı. Barracuda Ağları bu cihazları kullanan kuruluşlardan e-posta almak için.
Barracuda, Mayıs ayı ortasında ürünlerinde sıfır günün kötüye kullanıldığı konusunda uyarıldı ve iki gün sonra şirket, etkilenen tüm cihazlardaki kusuru gidermek için bir güvenlik güncellemesi yayınladı. Ancak geçen hafta Barracuda, sistemleri artık yazılım güncellemeleriyle uzaktan güvence altına alınamayacak kadar temel bir şekilde değiştiren kötü amaçlı yazılımlara yanıt olarak, güvenliği ihlal edilmiş ESG’leri değiştirmeyi önererek son derece alışılmadık bir adım attı.
Mandiant’a göre, daha önce kimliği belirlenemeyen bir Çinli bilgisayar korsanlığı grubu, Barracuda açığını kullanmaktan sorumluydu ve kurban örgütünün e-posta kayıtlarında “bir hükümet için siyasi veya stratejik çıkarları olan kişilere ait” hesapları arıyor gibi görünüyordu. [China] bu mağdur hükümet diğer ülkelerle üst düzey diplomatik toplantılara katılırken.”
Mandiant, güvenlik uzmanlarının Barracuda’nın ürünlerinde sıfır gün olasılığı konusunda alarm vermeye başladığında, Çinli bilgisayar korsanlığı grubunun Barracuda’nın olayı kontrol altına alma ve düzeltme çabalarına yanıt olarak taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) değiştirdiğini tespit etti.
Mandiant, saldırganların taktiklerini ve kötü amaçlı yazılımlarını değiştirmeye devam edeceklerini söyledi, “özellikle ağ savunucuları bu düşmana karşı harekete geçmeye devam ettikçe ve faaliyetleri bilgi güvenliği topluluğu tarafından daha fazla açığa çıkarıldığında.”
Bu arada, bu hafta, tarafından üretilen çok çeşitli sanal özel ağ (VPN) ürünlerinde sıfır gün kusurunun devam eden istismarı hakkında daha fazla ayrıntı öğrendik. Fortinet — birçok kuruluşun, çalışanlar için uzaktan ağ erişimini kolaylaştırmak için güvendiği cihazlar.
11 Haziran’da Fortinet, yarım düzine güvenlik güncellemesi yayınladı. FortiOS Araştırmacıların söylediği bir zayıflık da dahil olmak üzere donanım yazılımı, bir saldırganın neredeyse tüm Fortinet SSL VPN cihazlarında kötü amaçlı yazılım çalıştırmasına olanak tanır. Araştırmacılar, savunmasız bir Fortinet SSL VPN cihazının yönetim arayüzüne erişebilmenin, cihazları tamamen tehlikeye atmak için yeterli olduğunu keşfetti.
Fransız güvenlik açığı araştırmacısı “Bu, her SSL VPN cihazında erişilebilir ön kimlik doğrulamadır” Charles Fol tweet attı “#Fortigate’inizi yamalayın.”
12 Haziran’da yayınlanan ayrıntılarda Fortinet, güvenlik açıklarından birinin (CVE-2023-27997) aktif olarak kullanıldığını doğruladı. Şirket, Çinli bilgisayar korsanlarının ürünlerinde farklı bir sıfır gün açığından yararlandığını öğrendiği Ocak 2023’te başlayan dahili bir kod denetimindeki zayıflığı keşfettiğini söyledi.
Shodan.ioNesnelerin İnterneti cihazlarını bulmak için yapılan arama motoru, şu anda halka açık İnternet üzerinden erişilebilen yarım milyondan fazla savunmasız Fortinet cihazı olduğunu bildiriyor.
CISA’nın yeni siber güvenlik direktifi, ajanslara herhangi bir ağ cihazı yönetim arabirimini yalnızca dahili bir kurumsal ağdan erişilebilir kılarak internetten kaldırmalarını emreder (CISA, izole edilmiş bir yönetim ağı önerir). CISA ayrıca ajansların “Sıfır Güven Mimarisinin bir parçası olarak, arayüzün kendisinden ayrı bir politika uygulama noktası (tercih edilen eylem) aracılığıyla arayüze erişim kontrolünü zorlayan yetenekler dağıtması” gerektiğini söylüyor.
Güvenlik uzmanları, CISA direktifinin siber casusların ve fidye yazılımı çetelerinin kuruluşların ifşa edilmesini giderek daha riskli hale getirdiği gerçeğini vurguladığını söylüyor herhangi çünkü bu gruplar, bu tür cihazları önceden bilinmeyen güvenlik açıkları için araştırma konusunda güçlü teşviklere sahiptir.
Bu dinamiğin en göze çarpan örneği, fidye yazılımı gruplarının yaygın olarak kullanılan dosya aktarım protokolü (FTP) uygulamalarında sıfır gün kusurlarını keşfetme ve bunlara saldırma sıklığında görülebilir. Özellikle bir fidye yazılımı çetesi — Cl0p – yüzlerce fidye yazılımı kurbanından on milyonlarca doları zorla almak için çeşitli FTP cihazlarındaki sıfır gün hatalarından defalarca yararlandı.
2 Şubat’ta KrebsOnSecurity, saldırganların sıfır gün güvenlik açığından yararlandığı haberini verdi. Her Yere Git FTP aracı tarafından Fortra. Güvenlik açığını gidermek için güvenlik güncellemeleri kullanıma sunulduğunda, Cl0p zaten Fortra’nın FTP aracını çalıştıran yüzden fazla kuruluştan veri çalmak için kullanmıştı.
CISA’ya göre, 27 Mayıs’ta Cl0p, daha önce bilinmeyen bir açıktan yararlanmaya başladı. MOVEit Aktarımı, İnternet’e yönelik popüler bir dosya aktarım uygulaması. MOVEit ebeveyni İlerleme Yazılımı o zamandan beri zayıflığı gidermek için güvenlik güncellemeleri yayınladı, ancak Cl0p bunu yüzlerce kurban organizasyonu tehlikeye atmak için zaten kullandığını iddia ediyor. TechCrunch bankalar ve sigorta sağlayıcılardan üniversitelere ve sağlık kuruluşlarına kadar değişen mağdur kuruluşların serpintilerini takip ediyor.
Her zaman yerinde olan haftalık güvenlik haberleri podcast’i Riskli iş Cl0p’nin (veya başka bir suç çetesinin) diğer FTP aracı satıcıları üzerinde aynı muameleyi ziyaret etme olasılığının yüksek olduğuna dikkat çekerek son zamanlarda kuruluşları tüm FTP araçlarını bir kenara bırakmaya çağırıyor.
Ancak bu sağlam tavsiye, özellikle küçük ve orta ölçekli kuruluşlarda öne çıkan Barracuda ESG’ler veya Fortinet SSL VPN’ler gibi orta düzey ağ cihazları için tam olarak ölçeklenemez.
“FTP hizmetleri gibi değil, bir kuruluşa anlatamazsınız. [to] VPN’i kapat [because] VPN bağlantısını kesmenin üretkenlik vuruşu terminaldir, başlangıç değildir,” Risky Business yardımcı sunucusu Adam Boileau dedi bu haftaki programda. “Öyleyse, ağınızın ucunda etki alanına katılmış bir ağ cihazı kullanmak zorunda kalmanın etkisini nasıl azaltabilirsiniz ki bu, içinde sıfır gün olacak? İyi bir cevap yok.”
Riskli İş kurucusu patrick gri dedi.
Gray, “Pandemiye giden yıllarda, kimliğe duyarlı proxy’lere ve her şeye sıfır güvene doğru itme ve bu tür ekipmanlardan uzaklaşma aşamalıydı, ancak oluyordu,” dedi Gray. “Sonra COVID-19 patlak verdi ve herkes evden çalışmak zorunda kaldı ve hızlı bir şekilde işe koyulmak için gerçekten tek bir seçenek vardı, o da kurumsal özelliklere sahip VPN yoğunlaştırıcıları dağıtmaktı.”
Gray, güvenlik endüstrisinin güvenliği daha sağlam olan yeni nesil uzaktan erişim araçlarını oluşturmaya odaklandığını, ancak pandemi vurduğunda kuruluşların ellerinden gelen her şeyi bir araya getirmek için çabaladığını söyledi.
Gray, Fortinet gibi şirketler için pandemiyi “koldan bir darbe” olarak nitelendirerek, “Piyasada mevcut olan tek şey, QA’nın düzgün bir şekilde yapılmadığı tüm bu eski zırvalıktı ve bunları her salladığınızda CVE’ler düşüyor” dedi. ve Barracuda.
Gray, “Pandemi boyunca çok fazla VPN sattılar ve bu akşamdan kalma,” dedi. “COVID-19 bu şirketlerin ve teknolojilerin ömrünü uzattı ve bu talihsiz bir durum.”