Eclypsium, Eclypsium tedarik zinciri güvenlik platformunda ağ cihazları için yeni tehdit algılama yeteneklerini kullanıma sunuyor.
Geçen yaz, Akira, CACTUS, FIN8 ve LockBit’in de aralarında bulunduğu fidye yazılımı gruplarının, uç nokta güvenliğini atlatmak ve hedef ortamlarda kalıcılığı sürdürmek amacıyla çeşitli sağlayıcıların ağ cihazlarına saldırdığı gözlemlendi.
Buna ek olarak, devlet destekli saldırganlar ağ cihazlarını hedeflemeye devam ediyor; NSA ve CISA yakın zamanda BlackTech grubunun birden fazla satıcının ağ yönlendiricilerini hedef almasıyla ilgili bir tavsiye yayınladı.
Eclypsium CEO’su Yuriy Bulygin, “Ağ cihazlarında nakliyeyi sürdüren uzaktan istismar edilebilir güvenlik açıklarının sayısı, kurumsal BT altyapısına yönelik tedarik zincirindeki zayıflıkların altını çiziyor” diyor. “Savunucular bu cihazların varsayılan olarak güvenli bir şekilde gönderileceğine güvenemezler; bunun yerine tedarik zinciri risklerini öngörmeli ve azaltmalıdırlar. Basitçe güvenlik açıklarını taramak, aşırı yüklü güvenlik ekiplerinin fidye yazılımlarının ve diğer tehdit aktörlerinin ağ altyapısı cihazlarına sızmasını önlemesine veya ağ altyapısı cihazlarında kalıcılık oluşturmasına pek yardımcı olmaz. Bu sorunun farklı şekilde çözülmesi gerektiğine inanıyoruz.”
Fidye yazılımı grupları tespitten kaçma konusunda ustadır ve genellikle güvenlik araçlarına karşı genellikle şeffaf olmayan ağ ekipmanı gibi BT altyapı sistemlerini hedef alır. Bu cihazlar, hedef ortam içinde yanal hareket için geniş ağ erişimi sunar ve C2 iletişimini engellemek için kötü niyetli olarak yapılandırılabilir.
2023’te şu ana kadar ağ altyapısındaki güvenlik açıklarından yararlanan birkaç fidye yazılımı kampanyası düzenlendi:
- Ağustos ayında LockBit ve Akira, Cisco VPN cihazlarındaki sıfır gün güvenlik açığından yararlandı
- Temmuz ayında FIN8, yaklaşık 2.000 yama yapılmamış Citrix NetScaler cihazına web kabukları yükledi
- Haziran ayında Akira’nın Fortinet VPN cihazlarındaki kusurlardan yararlandığı ortaya çıktı
- Mayıs ayında CACTUS’un belirtilmeyen güvenlik açığı bulunan VPN cihazlarına saldırdığı bildirildi
Eclypsium tedarik zinciri güvenlik platformuna eklenen yeni özellikler, Cisco, F5 Networks, Fortinet ve NetScaler dahil olmak üzere ağ cihazlarının devam eden ihlallerini tespit ediyor ve daha fazla tedarikçinin cihazları da ekleniyor. Özellikle tespitler, donanım yazılımı ve işletim sistemi ikili dosyalarındaki değişiklikler, değiştirilmiş yapılandırma ve yedekleme dosyaları, ters kabuklar ve kalıcılık modülleri gibi ağ cihazlarının fiziksel ve bulut (sanal) sürümlerindeki risk göstergelerini arar.
Bu tehdit algılama yetenekleri, Eclypsium’un bu cihazlara yönelik mevcut güvenlik açığı ve güvenlik duruşu değerlendirme yeteneklerini artırır.