Dalış Özeti:
- Flax Typhoon tehdit grubuna bağlı bir devlet bağlantılı botnet, VulnCheck araştırmacılarının Pazartesi günü yaptığı açıklamaya göre aktif olarak 66 güvenlik açığını istismar etmek için hedef alıyor. Geçtiğimiz hafta Five Eyes istihbarat ortakları, Küresel bir tehdit uyarısında botnet.
- Ancak VulnCheck araştırmacıları, CVE’lerin yalnızca 27’sinin Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın yakından takip ettiği bilinen istismar edilen güvenlik açıkları kataloğunda listelendiği konusunda uyarıyor.
- Araştırmacılar, aktif olarak hedef alınan CVE’ler ile resmi CISA kataloğu arasındaki tutarsızlığın, kritik altyapı sağlayıcılarının, özel şirketlerin ve kamu kurumlarının karşı karşıya olduğu güvenlik tehditlerinin belirlenmesinde uzun süredir devam eden bir gecikmeye işaret ettiğini söylüyor.
Dalış İçgörüsü:
Bir CISA sözcüsü, ajansın şu rehberliğine işaret etti: bir güvenlik açığı eklemek için üç eşik KEV kataloğuna.
- Bu güvenlik açığına bir CVE kimliği atandı.
- Vahşi doğada sömürüldüğünü gösteren güvenilir kanıtlar mevcuttur.
- Bu güvenlik açığını gidermek için satıcı güncellemesi gibi net bir kılavuz mevcuttur.
Federal kurumların ayrıca, kötü niyetli faaliyetlerin sivil kurum operasyonlarına zarar verme riskini azaltmak için kataloğa eklenen güvenlik açıklarını azaltmaya yönelik adımlar atması gerekiyor.
FBI Direktörü Chris Wray geçen Çarşamba Mirai benzeri bir botnet’i bozmak için bir operasyon ifşa edildi dünya çapında 260.000’den fazla IoT cihazını istismar etti. Cihazların neredeyse yarısı ABD’de bulunuyordu
Five Eyes, botnet ile bağlantılı Çin bağlantılı tehdit grubu Flax Typhoon’un, DDoS saldırıları ve veri hırsızlığı gibi kötü amaçlı faaliyetler için ABD ve diğer ülkelerdeki kritik altyapı sağlayıcılarını hedef aldığı konusunda uyardı.
Grup, CVE’leri yönlendiricileri, internet protokol kameralarını ve ağa bağlı depolama aygıtlarını hedef almak için kullanıyor.
VulnCheck raporuna göre, 66 güvenlik açığından Apache’de 10, Cisco’da 5, Zyxel, QNAP, Fortinet ve Draytek’te ise üçer adet CVE bulunuyor.
Federal otoritelerin kötü amaçlı faaliyetler için kullanılan tüm kritik güvenlik açıklarını uygun şekilde analiz edip belgelemek için kaynaklara sahip olup olmadıkları konusunda uzun süredir endişeler vardı.
VulnCheck’teki güvenlik araştırmacısı Patrick Garrity, Cybersecurity Dive’a yaptığı açıklamada, “Belki de görünürlükleri yoktu ve belki de federal (kurumlarda) yaygın değillerdi; bunlar eklenmemelerinin iyi ve geçerli nedenleri olabilir” dedi.
VulnCheck’in Mayıs ayında yayınladığı bir raporda Ulusal Standartlar ve Teknoloji Enstitüsü’nün %10’dan az güvenlik açığını analiz etti Şubat ayından bu yana eklenen Ulusal Güvenlik Açığı Veritabanı’nda yayımlandı.
NIST dışarıdan bir firmayı işe aldı analiz birikimini azaltmaya yardımcı olmak için. Bir NIST sözcüsü, ajansın birikmiş işleri azaltma yönünde ilerleme kaydedildive bu ilerlemeyle ilgili bir güncelleme bekleniyor.