Google, 2024’te vahşi doğada 2023’te 98’den aşağı inen 75 sıfır günlük güvenlik açıkını gözlemlediğini açıkladı.
75 sıfır günün% 44’ü kurumsal ürünleri hedefledi. Güvenlik yazılımı ve cihazlarında 20 kadar kusur tespit edildi.
Google Tehdit İstihbarat Grubu (GTIG), hacker News ile paylaşılan bir raporda, “Tarayıcıların ve mobil cihazların sıfır gün sömürülmesi büyük ölçüde düştü, tarayıcılar için yaklaşık üçte bir azalıyor ve geçen yıl gözlemlediğimizle karşılaştırıldığında mobil cihazlar için yaklaşık yarıya düştü.” Dedi.
“Birden fazla sıfır günlük güvenlik açıkından oluşan istismar zincirleri, mobil cihazları hedeflemek için neredeyse sadece (~%90) olmaya devam ediyor.”
Microsoft Windows, 2024’te sıfır günlük kusurlardan 22’sini açıklarken, Apple’ın safarisi üç, iOS vardı, Android’in yedi, Chrome’un yedi ve Mozilla Firefox’un aynı dönemde istismar edilen bir kusuru vardı. Android’de sömürülen yedi sıfır günün üçü üçüncü taraf bileşenlerde bulundu.
Kurumsal yazılım ve aletlerde sömürülen 33 sıfır gün arasında, 20 tanesi Ivanti, Palo Alto Networks ve Cisco gibi güvenlik ve ağ ürünlerini hedef aldı.
GTIG araştırmacıları, “Güvenlik ve ağ araçları ve cihazlar, yaygın sistemleri ve cihazları ürünleri ve hizmetlerini yönetmek için gerekli yüksek izinlerle bağlamak için tasarlanmıştır, bu da onları kurumsal ağlara verimli erişim isteyen tehdit aktörleri için son derece değerli hedefler haline getirir.”
Toplamda, 2024’te 2021’de 12, 2022’de 17 ve 2023’te 22’ye kıyasla toplam 18 benzersiz işletme satıcısı hedeflendi. En çok hedeflenen sıfır güne sahip şirketler Microsoft (26), Google (11), Ivanti (7) ve Apple (5) idi.
Dahası, 75 kusurun 34’ünün sıfır gün sömürüsü altı geniş tehdit faaliyet kümesine atfedildi –
- Çin (5), Rusya (1) ve Güney Kore (1) liderliğindeki devlet destekli casusluk (10) (örneğin, CVE-2023-46805, CVE-2024-21887)
- Ticari Gözetim Satıcılar (8) (örneğin, CVE-2024-53104, CVE-2024-32896, CVE-2024-29745, CVE-2024-29748)
- Devlet dışı finansal olarak motive olmuş gruplar (5) (örneğin, CVE-2024-55956)
- Devlet destekli casusluk ve finansal olarak motive olmuş gruplar (5), hepsi Kuzey Kore’den (örn. CVE-2024-21338, CVE-2024-38178)
- Eyalet dışı finansal olarak motive olmuş gruplar, hepsi Rusya’dan casusluk (2) (örn. CVE-2024-9680, CVE-2024-49039)
Google, Kasım 2024’te Diplomatik Ukrayna Akademisi’nin web sitesinde kötü niyetli bir JavaScript enjekte keşfettiğini söyledi (online.da.mfa.gov[.]CVE-2024-44308 için bir istismar tetikleyen ve keyfi kod yürütülmesine neden olan UA).
Daha sonra bu, Webkit’te bir çerez yönetimi güvenlik açığı olan CVE-2024-44309 ile zincirlendi ve bir siteler arası bir komut dosyası (XSS) saldırısı başlatmak ve nihayetinde giriş için yetkisiz erişim için kullanıcıların çerezlerini toplamak için.[.]com.
Teknoloji devi ayrıca, Firefox ve Tor tarayıcılar için CVE-2024-9680 ve CVE-2024-49039’un bir kombinasyonunu kullanan ve ROMCOM sıçanının konuşlandırılmasına yol açarak kötü amaçlı kodları yürütmek için bağımsız olarak bir istismar zinciri keşfettiğini belirtti.
Daha önce ESET tarafından işaretlenen etkinlik, Romcom adlı bir tehdit oyuncusuna atfedildi (aka Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ve Void Rabisu). Google, puro adı altında ikili finansal ve casusluk yapımlı tehdit grubunu izliyor.
Her iki kusurun da ziyaretçileri, istismar zincirini barındıran saldırgan kontrollü bir alana yönlendirmek için meşru, tehlikeye atılmış bir kripto para birimi haber web sitesi kullanan bir mali olarak motive olmuş bir hack ekibi tarafından sıfır gün olarak istismar edildiği söyleniyor.
GTIG kıdemli analisti Casey Charrier, “Sıfır gün sömürüsü yavaş ama istikrarlı bir hızda büyümeye devam ediyor. Ancak, Hacker News ile paylaşılan bir açıklamada Casey Charrier,” Satıcıların sıfır gün sömürüsünü azaltmak için çalışmasını görmeye başladık. “Dedi.
“Örneğin, muhtemelen birçok büyük satıcının sömürüyü önlemek için yatırdığı çabalar ve kaynaklar nedeniyle tarihsel olarak popüler olan daha az sıfır gün sömürüsü hedefleme ürünlerini gözlemledik.”
“Aynı zamanda, proaktif güvenlik önlemlerini artırmak için daha geniş ve daha çeşitli satıcılar seti gerektiren işletme odaklı ürünlerin artan hedeflemesine doğru sıfır gün sömürüsünün geçiş yaptığını görüyoruz. Sıfır gün sömürüsünün geleceği, satıcıların kararları ve tehdit aktörlerinin hedeflerine ve peşinde koşma yetenekleri tarafından dikte edilecektir.”