Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), yazılım geliştiricileri ve sektör yöneticilerini, ürünlerindeki dizin geçişi güvenlik açıklarını ortadan kaldırma çabalarını yoğunlaştırmaya çağıran ortak bir Tasarım Yoluyla Güvenlik Uyarısı yayınladı.
Bu hamle, başta CVE-2024-1708 ve CVE-2024-20345 olmak üzere bu güvenlik açıklarından yararlanan ve sağlık ve halk eğitimi de dahil olmak üzere kritik altyapı sektörlerinde önemli kesintilere yol açan bir dizi yüksek profilli siber saldırıya yanıt olarak geldi.
Yol geçişi olarak da bilinen dizin geçişi, saldırganların kısıtlı dizinlere erişmesine ve web sunucusunun kök dizini dışındaki komutları yürütmesine olanak tanıyan kritik bir güvenlik kusurunu temsil eder.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Yirmi yılı aşkın bir süredir iyi belgelenmiş bir sorun olmasına rağmen, kapsamlı azaltma stratejilerinin halihazırda mevcut olması nedeniyle, bu güvenlik açıklarının yeni ve mevcut yazılım ürünlerinde devam etmesi, küresel siber güvenlik açısından önemli bir risk oluşturmaya devam ediyor.
Dizin geçişindeki güvenlik açıklarından yararlanan son tehdit aktörü kampanyaları, yazılım güvenliğine yönelik daha proaktif bir yaklaşıma olan acil ihtiyacın altını çizdi.
Bu güvenlik açıklarından yararlanmak yalnızca hassas bilgilerin tehlikeye atılmasına yol açmadı. Yine de, hastane operasyonları ve eğitim kurumları da dahil olmak üzere temel hizmetleri de aksatarak kamu güvenliği ve refahı üzerindeki yaygın etki potansiyelinin altını çizdi.
CISA ve FBI’dan Eylem Çağrısı
CISA ve FBI, Tasarım Yoluyla Güvenli Uyarısında, yazılım üreticileri ve müşterileri için çeşitli önemli tavsiyelerin ana hatlarını çizdi.
Üreticiler için kurumlar, ürünlerinin dizin geçişindeki güvenlik açıklarına karşı duyarlılığını değerlendirmek amacıyla OWASP test kılavuzuna göre resmi testler yürütmenin önemini vurguluyor.
Ayrıca, geliştirme süreçlerinde güvenliğe öncelik verme konusundaki kararlılıklarını gösteren güvenli bir tasarım yol haritası geliştirip yayınlamaları da teşvik ediliyor.
Uyarı, müşterilere yazılım sağlayıcılarının güvenlik testi uygulamaları hakkında bilgi almalarını tavsiye ederek sektörde şeffaflık ve hesap verebilirlik kültürünü teşvik ediyor.
CISA’nın şu anda Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğunda 55 dizin geçiş güvenlik açığını listelediği ortak uyarı, yazılımın siber tehditlere karşı güvenliğinin sağlanmasında devam eden zorlukların kritik bir hatırlatıcısı olarak hizmet ediyor.
CISA ve FBI arasındaki işbirliği, siber güvenlik konusunda birleşik bir yaklaşımın önemini vurguluyor ve bu güvenlik açıklarının ele alınmasında ve azaltılmasında sektör çapında işbirliğinin rolünü vurguluyor.
Yazılım üreticileri ve müşterileri, Tasarım Yoluyla Güvenli Uyarısında belirtilen önerilere bağlı kalarak, siber saldırı riskinde önemli bir azalmaya katkıda bulunabilir, kritik altyapının korunmasını ve halkın güvenliğini sağlayabilir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide