Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak kullanıldıklarına dair kanıtlar nedeniyle Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğuna beş yeni güvenlik açığının eklendiğini duyurdu. Yaygın olarak kullanılan yazılım ürünlerini kapsayan bu güvenlik açıkları, kurumsal siber güvenlik açısından dikkate değer riskler oluşturmaktadır. CISA’nın KEV Katalogunda devam eden güncellemeleri, kurumun federal kuruluş içindeki ve dışındaki yüksek riskli güvenlik açıklarını izleme ve düzeltme konusundaki kararlılığını vurgulamaktadır.
Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna Yeni Eklemeler
Yeni eklenen güvenlik açıkları şunları içerir:
- CVE-2021-26086 – Atlassian Jira Sunucusu ve Veri Merkezinde Yol Geçişi Güvenlik Açığı
Atlassian Jira Sunucu ve Veri Merkezindeki bu güvenlik açığı, saldırganların sistem içindeki kısıtlı dosyaları okumasına olanak tanıyor. Bu kusurdan yararlanmak, izinsiz dosya erişimine olanak tanıyan, bilgilerin açığa çıkmasına ve ele geçirilen ağ içinde olası yanal harekete yol açabilecek bir yol geçiş saldırısı içerir. - CVE-2014-2120 – Cisco Uyarlanabilir Güvenlik Cihazı (ASA) Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı
Cisco’nun ASA’sında bulunan bu siteler arası komut dosyası çalıştırma güvenlik açığı, saldırganların WebVPN oturum açma sayfasına kötü amaçlı komut dosyaları eklemesine, potansiyel olarak kullanıcı oturumlarını tehlikeye atmasına ve hassas verileri manipüle etmesine olanak tanır. Güvenlik açığı belirli WebVPN yapılandırmalarını etkiliyor ve Cisco ASA cihazlarındaki güvenlik duvarı ayarlarına ve yapılandırmalarına yakından dikkat edilmesi gerektiğini vurguluyor. - CVE-2021-41277 – Metatabanı GeoJSON API Yerel Dosya Ekleme Güvenlik Açığı
Metabase’in GeoJSON API’si, GeoJSON veri işlemeye yönelik özel harita desteği API’sinde yerel dosya ekleme güvenlik açığı içeriyor. Bu güvenlik açığından yararlanan saldırganlar, ana bilgisayar ortamındaki hassas dosya ve verilere erişim sağlayabilir. Metabase’i kullanan kuruluşlar, bu API aracılığıyla olası yetkisiz erişimi önlemek için yamaları uygulamaya öncelik vermelidir. - CVE-2024-43451 – Microsoft Windows NTLMv2 Hash Açıklama Sahteciliği Güvenlik Açığı
Microsoft Windows’taki bu güvenlik açığı, bir saldırganın güvenliği ihlal edilen kullanıcının kimliğine bürünmek için yararlanabileceği NTLMv2 karmasını açığa çıkarıyor. Bu karma ifşası, bir dosya açma işlemi sırasında meydana gelebilir ve saldırganların ayrıcalıklı bilgilere veya sistemlere erişmesi için potansiyel bir giriş noktası oluşturabilir. - CVE-2024-49039 – Microsoft Windows Görev Zamanlayıcı’da Ayrıcalık Yükseltme Güvenlik Açığı
Microsoft Windows’ta, Görev Zamanlayıcı’daki bir ayrıcalık yükseltme güvenlik açığı, saldırganların AppContainer’ın kısıtlamaları dışındaki işlevlere erişmesine, yükseltilmiş ayrıcalıklara ve hassas sistem alanlarına erişime olanak tanıyabilir. Bunun gibi ayrıcalık yükseltme güvenlik açıkları genellikle karmaşık saldırı zincirlerinde kullanılıyor ve bu da acil yama ihtiyacının altını çiziyor.
Riskleri ve KEV Kataloğunun Rolünü Anlamak
Yeni listelenen bu güvenlik açıkları, siber saldırganların savunmaları aşmak için tercih ettiği çok çeşitli saldırı yöntemlerini (yol geçişi, siteler arası komut dosyası oluşturma, yerel dosya ekleme, karma ifşası ve ayrıcalık yükseltme) göstermektedir. Bu güvenlik açıklarından yararlanıldığında, yetkisiz erişime, veri sızmasına ve güvenliği ihlal edilmiş sistemler üzerinde potansiyel olarak tam kontrole yol açılabilir.
Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğu, CISA tarafından, aktif olarak yararlanılan güvenlik açıklarının oluşturduğu riskleri azaltmayı amaçlayan Bağlayıcı Operasyonel Direktif (BOD) 22-01 aracılığıyla merkezi bir kaynak olarak oluşturulmuştur. BOD 22-01, tüm Federal Sivil Yürütme Organı (FCEB) kurumlarının, KEV Katalogunda listelenen güvenlik açıklarını belirtilen son tarihlere kadar düzeltmesini gerektirir. Direktif, zamanında uygulanan bu iyileştirmeleri uygulayarak, federal ağları hedef alan aktif tehditlere karşı savunmayı güçlendiriyor.
Kuruluşlar için Temel Gereksinimler ve Eylemler
BOD 22-01 özellikle FCEB kurumları için geçerli olsa da CISA, tüm kuruluşların KEV Kataloğunu kendi siber güvenlik yönetimi çerçevelerine dahil etmelerini güçlü bir şekilde teşvik etmektedir. Kuruluşlar, iyileştirme önceliklerini KEV Kataloğu ile uyumlu hale getirerek, saldırganların aktif olarak istismar ettiği bilinen güvenlik açıklarına karşı dayanıklılıklarını artırabilir. Aşağıda her yeni güvenlik açığı için önerilen eylemlerin ve ilgili düzeltme son tarihlerinin bir özeti bulunmaktadır:
- CVE-2021-26086 (Atlassian Jira Sunucusu ve Veri Merkezi): Azaltma çabaları Atlassian’ın yönergelerine uygun olmalı veya yamalar mevcut değilse kullanım durdurulmalıdır.
- CVE-2014-2120 (Cisco ASA): Kuruluşların Cisco tarafından sağlanan yamaları uygulamaları veya yamaların uygulanamaması durumunda WebVPN özelliğini devre dışı bırakmaları tavsiye edilir.
- CVE-2021-41277 (Metatabanı GeoJSON API): Herhangi bir düzeltme mevcut değilse, savunmasız hizmetlere yama uygulamak veya devre dışı bırakmak için Metabase’in resmi talimatlarını izleyin.
- CVE-2024-43451 (Microsoft Windows NTLMv2 Karma Açıklaması): Karma kimlik sahtekarlığı saldırılarını önlemek için Microsoft’un rehberliği uygulanmalı ve yamaların pratik olmadığı ortamlarda kullanım durdurulmalıdır.
- CVE-2024-49039 (Microsoft Windows Görev Zamanlayıcı Ayrıcalık Yükseltmesi): Kuruluşlar, satıcıya özel yamaları derhal uygulamalı veya azaltım mümkün olana kadar kullanıma son vermelidir.
KEV Kataloğuna eklenen her güvenlik açığına, giderilmesi için bir son tarih atanır. Bu beş güvenlik açığı için CISA bir son tarih belirlemiştir. 3 Aralık 2024.
Etkin Güvenlik Açığı Yönetimi İçin Pratik Adımlar
Korumayı en üst düzeye çıkarmak için CISA, kuruluşların KEV Kataloğunu daha geniş bir güvenlik açığı yönetimi programının parçası olarak kullanmasını tavsiye eder. Bu şunları içerebilir:
- KEV Kataloğunu Düzenli Olarak Kontrol Edin: KEV Kataloğu, yeni tespit edilen güvenlik açıklarını yansıtacak şekilde sürekli olarak güncellenmektedir. Bu güncellemeleri kurumsal siber güvenlik protokollerine entegre etmek, yüksek riskli güvenlik açıklarına öncelik verilmesini sağlar.
- Risk Temelli Yaklaşımın Benimsenmesi: Kuruluşun maruz kaldığı riske göre güvenlik açıklarının önceliklendirilmesi, kaynak tahsisini iyileştirebilir ve kritik tehditlere zamanında yanıt verilmesini sağlayabilir. KEV Kataloğu, aktif olarak yararlanılan güvenlik açıklarını vurgulayarak risk tabanlı bir çerçeve sağlayarak güvenlik ekiplerinin en önemli konulara odaklanmasını sağlar.
- Zamanında Yama Uygulaması ve Etki Azaltma Uygulaması: Yama uygulamak genellikle bir güvenlik açığını ortadan kaldırmanın en basit yöntemidir. Bununla birlikte, bir yama mevcut değilse, maruziyeti sınırlamak için belirli özelliklerin veya hizmetlerin devre dışı bırakılması gibi alternatif azaltıcı önlemler uygulanmalıdır.
- Rehberlik için Satıcılarla İletişim Kurmak: Azaltma talimatlarının karmaşık olduğu veya bir yamanın sistem işlevselliğini etkileyebileceği durumlarda, güvenli dağıtım ve risk azaltma için yazılım satıcılarıyla işbirliği yapmak çok önemlidir.
Çözüm
CISA’nın KEV Kataloğu, hem federal kurumlar hem de özel sektör kuruluşları için önemli bir araç olmayı sürdürüyor. Bu beş güvenlik açığının eklenmesiyle katalog, gerçek dünyadaki siber saldırılarda istismar edilen güvenlik açıkları için yetkili bir kaynak olma rolünü güçlendiriyor.
Kuruluşların, CISA’nın tavsiyelerine göre bu güvenlik açıklarını gidererek hızlı hareket etmeleri teşvik edilmektedir. Farklı sektörlerdeki kuruluşlar için KEV Kataloğu gibi kaynaklardan yararlanmak, saldırganların önünde kalmak ve güçlü bir güvenlik duruşu sağlamak açısından kritik öneme sahiptir.
İlgili