Fidye yazılımı operatörlerinin 2022 saldırılarında kullandığı birçok güvenlik açığı, saldırganların görevlerini yerine getirmek için kalıcılık sağlamalarına ve yanal hareket etmelerine yol açtı.
Ivanti’nin bu hafta açıkladığı yeni bir rapora göre, Microsoft, Oracle, VMware, F5, SonicWall ve diğer birçok satıcının ürünlerindeki güvenlik açıkları, bunları henüz düzeltmemiş kuruluşlar için açık ve mevcut bir tehlike oluşturuyor.
Eski Vuln’lar Hala Popüler
Ivanti’nin raporu, kendi tehdit istihbarat ekibinden ve Securin, Cyber Security Works ve Cyware’den alınan verilerin analizine dayanıyor. Kötü aktörlerin 2022’deki fidye yazılımı saldırılarında yaygın olarak yararlandığı güvenlik açıklarına derinlemesine bir bakış sunar.
Ivanti’nin analizi, fidye yazılımı operatörlerinin geçen yıl saldırılarda toplam 344 benzersiz güvenlik açığından yararlandığını gösterdi. Gruptaki en eski güvenlik açıkları, aslında Oracle’ın ürünlerinde 2012’den kalma üç uzaktan kod yürütme (RCE) hatasıydı: Oracle Fusion ara katman yazılımında CVE-2012-1710 ve Java Çalışma Zamanı Ortamında CVE-2012-1723 ve CVE-2012-4681.
Ivanti’nin baş ürün sorumlusu Srinivas Mukkamala, veriler fidye yazılımı operatörlerinin yeni güvenlik açıklarını geçen yıl hiç olmadığı kadar hızlı bir şekilde silahlandırdığını gösterse de, birçoğunun kurumsal sistemlerde henüz yama yapılmamış eski güvenlik açıklarına güvenmeye devam ettiğini söylüyor.
Mukkamala, “Daha eski kusurlardan yararlanılması, yamaların karmaşıklığının ve zaman alıcı doğasının bir yan ürünüdür” diyor. “Bu nedenle kuruluşların, kuruluşları için en büyük riski oluşturan güvenlik açıklarını giderebilmeleri için yamalara öncelik vermek üzere risk tabanlı bir güvenlik açığı yönetimi yaklaşımı benimsemeleri gerekiyor.”
En Büyük Tehditler
Ivanti’nin en büyük tehlike olarak tanımladığı güvenlik açıkları arasında, şirketin tehdit aktörlerine tüm görevlerini yerine getirmeleri için yetenekler sunduğunu tanımladığı 57 güvenlik açığı vardı. Bunlar, bir saldırganın ilk erişimi kazanmasına, kalıcılığa ulaşmasına, ayrıcalıkları yükseltmesine, savunmalardan kaçmasına, kimlik bilgilerine erişmesine, aradıkları varlıkları keşfetmesine, yanal hareket etmesine, veri toplamasına ve son görevi yürütmesine olanak tanıyan güvenlik açıklarıydı.
2012’deki üç Oracle hatası, bu kategorideki 2019 veya daha eski tarihli 25 güvenlik açığı arasındaydı. Ivanti, sırasıyla ConnectWise, Zyxel ve QNAP ürünlerinde bunlardan üçüne (CVE-2017-18362, CVE-2017-6884 ve CVE-2020-36195) yönelik istismarların şu anda tarayıcılar tarafından tespit edilmediğini söyledi.
Eksiksiz bir yararlanma zinciri sunan listedeki çok sayıda (11) güvenlik açığı, hatalı giriş doğrulamasından kaynaklanmıştır. Güvenlik açıklarının diğer yaygın nedenleri arasında yol geçiş sorunları, işletim sistemi komut enjeksiyonu, sınırların dışında yazma hataları ve SQL enjeksiyonu yer alır.
Yaygın Olarak Yaygın Kusurlar En Popülerdir
Fidye yazılımı aktörleri ayrıca birden fazla üründe bulunan kusurları tercih etme eğilimindeydi. Aralarında en popüler olanlardan biri, Intel’in 2018’de ifşa ettiği bir tür spekülatif yan kanal güvenlik açığı olan CVE-2018-3639’du. Mukkamala, güvenlik açığının 26 satıcının 345 ürününde bulunduğunu söylüyor. Diğer örnekler arasında, şu anda en az altı fidye yazılımı grubunun istismar ettiği kötü şöhretli Log4Shell kusuru CVE-2021-4428 yer alıyor. Açık, Ivanti’nin Aralık 2022 gibi kısa bir süre önce tehdit aktörleri arasında trend olarak bulduğu kusurlardan biri. Oracle, Red Hat, Apache, Novell ve Amazon dahil olmak üzere 21 tedarikçi firmanın en az 176 ürününde bulunuyor.
Fidye yazılımı operatörlerinin yaygın yaygınlıkları nedeniyle tercih ettikleri diğer iki güvenlik açığı, Linux çekirdeğindeki CVE-2018-5391 ve Microsoft Netlogon’daki kritik bir ayrıcalık yükseltme kusuru olan CVE-2020-1472’dir. Ivanti, Babuk, CryptoMix, Conti, DarkSide ve Ryuk’un arkasındakiler de dahil olmak üzere en az dokuz fidye yazılımı çetesinin kusuru kullandığını ve diğerleri arasında popülerlik kazanmaya devam ettiğini söyledi.
Toplamda güvenlik, geçen yıl fidye yazılımı saldırılarında kullanılan yaklaşık 118 güvenlik açığının birden çok üründe var olan kusurlar olduğunu tespit etti.
Mukkamala, “Tehdit aktörleri, çoğu üründe bulunan kusurlarla çok ilgileniyor” diyor.
CISA Listesinde Yok
Fidye yazılımı saldırganlarının geçen yıl istismar ettiği 344 açıktan 131’i, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın yakından takip edilen Bilinen İstismar Edilen Güvenlik Açıkları (KEV) veritabanına dahil edilmedi. Veritabanı, tehdit aktörlerinin aktif olarak istismar ettiği ve CISA’nın özellikle riskli olarak değerlendirdiği yazılım kusurlarını listeler. CISA, federal kurumların veritabanında listelenen güvenlik açıklarını öncelikli olarak ve genellikle iki hafta kadar içinde ele almasını gerektirir.
Mukkamala, “Bunların CISA’nın KEV’sinde olmaması önemlidir, çünkü birçok kuruluş yamalara öncelik vermek için KEV’yi kullanır,” diyor. Bu, KEV’nin sağlam bir kaynak olmasına rağmen, fidye yazılımı saldırılarında kullanılan tüm güvenlik açıklarının tam bir görünümünü sağlamadığını gösteriyor, diyor.
Ivanti, geçen yıl LockBit, Conti ve BlackCat gibi gruplar tarafından fidye yazılımı saldırılarında kullanılan 57 güvenlik açığının ulusal güvenlik açığı veritabanında düşük ve orta önem derecelerine sahip olduğunu tespit etti. Tehlike: Güvenlik satıcısı, bunun yanlış bir güvenlik duygusuna yama yapmaya öncelik vermek için skoru kullanan kuruluşları yatıştırabileceğini söyledi.