2024 yılında ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunu genişleterek kritik siber güvenlik girişimini geliştirmeye devam etti.
Dünya çapında BT güvenlik ekipleri ve kuruluşları için hayati bir araç olarak hizmet veren bu veritabanı, bu yıl 185 yeni güvenlik açığı ekleyerek, yüksek istismar riski altındaki yazılım ve donanım kusurlarının toplam sayısını 1.238’e çıkardı. Siber suçluların aktif olarak hedef aldığı bu güvenlik açıkları altyapı, veri güvenliği ve çeşitli sektörlerdeki operasyonlar için ciddi riskler oluşturabilir.
Kasım 2021’de kullanıma sunulan KEV kataloğunun istikrarlı büyümesi, siber saldırıların oluşturduğu kalıcı tehdidin altını çiziyor. Bu makale, 2024 yılı için KEV kataloğundaki önemli trendleri araştırıyor, en yaygın güvenlik açıklarını belirliyor ve bu yıl en fazla sayıda yazılım hatasıyla karşı karşıya kalan satıcıları tartışıyor.
KEV Kataloğunda İstikrarlı Büyüme
CISA’nın KEV kataloğu, başlangıcından bu yana giriş sayısında tutarlı bir artış gördü. 2024 yılında 185 güvenlik açığı eklendi; bu sayı, 2023’te eklenen 187’den biraz daha az. Bu istikrarlı yeni giriş oranı, kataloğun ilk yıllarındaki daha patlayıcı genişlemenin ardından geldi. 2022’de CISA, ilk altı ayda 500’den fazla güvenlik açığı ekledi ve ilk lansmanda 300’den fazla giriş görüldü.
İlginç bir şekilde, katalog yalnızca yeni güvenlik açıklarının sayısında değil, aynı zamanda güvenlik açıklarının dahil edildiği çağda da arttı. Bu yılki girişlerin çoğu yeni olmasına rağmen (2024’ten 115’e kadar), önemli bir kısmı (60 ila 70) hala aktif olarak istismar edilen eski güvenlik açıklarından oluşuyor.
Özellikle, 2002 yılına kadar uzanan CVE-2002-0367 gibi en eski güvenlik açıklarından bazıları, fidye yazılımı saldırılarında yararlanılarak risk oluşturmaya devam ediyor. 2024 KEV kataloğuna eklenen en eski eklenti, Microsoft Internet Explorer’ın 6’dan 8’e kadar olan sürümlerinde bulunan bir Ücretsiz Kullanım Sonrası güvenlik açığı olan CVE-2012-4792’dir.
KEV Katalogunda Öne Çıkan Yazılım Zayıflıkları
2024’teki 185 yeni giriş arasında, Ortak Zayıflık Sayımları (CWE’ler) olarak bilinen çeşitli yazılım zayıflıkları özellikle yaygındı. Bu zayıflıklar, siber suçluların sistemlere yetkisiz erişim sağlamak, hizmetleri kesintiye uğratmak veya hassas verileri çalmak için kullanabileceği kritik güvenlik açıklarını açığa çıkarır.
Bu yıl KEV kataloğunda en sık görülen güvenlik açığı türü, eklenen güvenlik açıklarından 14’ünde bulunan CWE-78 (OS Komut Enjeksiyonu) oldu. İşletim sistemi komut enjeksiyonu, bir saldırganın işletim sistemi çalıştıran bir sisteme kötü amaçlı komutlar enjekte etmesi ve bunun da potansiyel olarak yetkisiz kontrole yol açması durumunda gerçekleşir.
CWE-502 (Güvenilmeyen Verilerin Seri Durumundan Çıkarılması), yeni girişlerin 11’inde görülen ikinci en yaygın güvenlik açığı türüydü. Bu zayıflık, saldırganların uygun olmayan şekilde işlenen veya seri durumdan çıkarılan verilerden yararlanmasına olanak tanır ve bu da uzaktan kod yürütülmesine veya yetkisiz erişime yol açabilir.
Diğer dikkate değer güvenlik açıkları arasında 10 güvenlik açığında ortaya çıkan CWE-416 (Serbest Sonra Kullan) ve her ikisi de 9 güvenlik açığından sorumlu olan CWE-22 (Yol Geçişi) ve CWE-287 (Uygunsuz Kimlik Doğrulama) yer alıyor.
CISA KEV’de En Fazla Güvenlik Açığı Olan Lider Tedarikçiler
Microsoft, KEV kataloğuna eklenen güvenlik açıklarıyla satıcılar listesinde liderliğini sürdürdü. Microsoft’un listeye 2023’te 27 olan güvenlik açığı 2024’te 36’ya eklendi. Şirketin kurumsal sistemler, bulut platformları ve yazılım ürünlerindeki yaygın varlığı, onu siber saldırıların sık hedefi haline getiriyor.
Ivanti, KEV kataloğuna eklenen 11 güvenlik açığıyla Microsoft’un ardından en çok etkilenen ikinci satıcı oldu. Bu, Ivanti güvenlik açığı aracılığıyla CISA’nın yüksek profilli ihlali sırasında istismar edilen kritik kusurları da içeriyor. Cyble’ın bal küpü sensörü, Ocak 2024 gibi erken bir tarihte Ivanti’nin zayıf noktalarını hedef alan aktif saldırıları tespit etti.
2024’te çok sayıda güvenlik açığıyla karşı karşıya kalan diğer büyük satıcılar arasında Google Chromium (9 güvenlik açığı), Adobe (8 güvenlik açığı) ve Apple (7 güvenlik açığı) yer aldı. Cisco, D-Link, Palo Alto Networks ve Apache gibi sağlayıcıların da listeye eklediği çeşitli güvenlik açıkları, bu zayıflıklardan etkilenen geniş sektör ve teknoloji yelpazesini vurguluyor.
2024’teki güvenlik açığının dikkate değer bir örneği, Versa Director’da 7.2 önem derecesine sahip bir sorun olan CVE-2024-39717’dir. Yalnızca 31 web’e açık örneğe sahip olmasına rağmen, bu güvenlik açığından İnternet Servis Sağlayıcılarını (ISP’ler) ve Yönetilen Hizmet Sağlayıcılarını (MSP’ler) hedef alan tedarik zinciri saldırılarında yararlanıldı. Bu, KEV kataloğunun kritik bir yönünü vurgulamaktadır: Bir güvenlik açığının ciddiyeti her zaman güvenlik açığıyla veya CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanıyla uyumlu değildir. Düşük maruziyete sahip güvenlik açıkları bile, hedefli saldırılarda kullanılırsa oldukça zarar verici olabilir.