2023'te saldırganlar, üçüncü taraf kitaplıklardaki (libvpx, ImagelO) ve sürücülerdeki (Mali GPU, Qualcomm Adreno GPU) sıfır gün güvenlik açıklarını keşfetmeye ve bunlardan yararlanmaya giderek daha fazla odaklandı; çünkü bu güvenlik açıkları birden fazla ürünü etkileyebilir ve etkili bir şekilde daha fazla saldırı olanağı sunabilir.
Google'ın 2023'te yaygın olarak kullanılan 97 sıfır güne ilişkin kısa süre önce yaptığı değerlendirmeden elde edilen bir başka ilginç sonuç da, kuruluşa özel teknolojilerin hedeflenmesinde dikkate değer bir artış olduğudur.
Doğada istismar edilen sıfır gün sayısı (2019-2023). Kaynak: Google
Google, “Kurumsal hedeflemede gözlemlenen bu artışın temel olarak Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager Mobile ve Sentry ve Trend Micro Apex One dahil ancak bunlarla sınırlı olmamak üzere güvenlik yazılımı ve cihazlarının kullanılmasından kaynaklandığını” belirtti. TAG ve Mandiant'ın tehdit analistleri bunu belirtti.
2019'da sıfır günlerin yalnızca yüzde 11,8'i kurumsal teknolojileri etkiledi; 2023'te bu yüzde 37,1'e ulaştı. Bu değişim, birçok tedarikçinin etkili bir yama üzerinde çalışırken saldırılara hızlı ve etkili bir şekilde yanıt vermek için çabalamasına neden oluyor.
Platformlar saldırganların işini zorlaştırıyor
Tersine, ticari gözetim sağlayıcıları işletim sistemi, tarayıcı ve mobil cihaz üreticilerini yıllardır tetikte tutuyor ve onları, tüm güvenlik açıkları kategorilerini saldırganlar için işe yaramaz hale getiren istismar azaltımları geliştirmeye teşvik ediyor.
Örneğin, Google'ın MiraclePtr'si, Chrome tarayıcısındaki serbest kullanım sonrası hatalardan yararlanma konusunda düşüşe geçti ve iOS'un Kilitleme Modu, 2023'te görülen birçok istismar zincirine karşı koruma sağlıyor.
“Hem Chrome hem de Safari, sırasıyla V8 yığın sanal alanı ve JITCage aracılığıyla JavaScript Motoru güvenlik açıklarından yararlanmayı daha karmaşık hale getirdi. Analistler, artık hataların doğrudan istismar edilmesi yerine, bu hafifletmelere yönelik bypass'ların da dahil edilmesi gerektiğini belirtti.
2023'te sıfır gün sömürüsünü kim gerçekleştirdi?
Siber casusluğa dahil olan ticari gözetim (diğer adıyla “casus yazılım”) satıcıları ve APT grupları, sıfır gün açıklarından yararlanmanın en üretken kullanıcılarıdır.
“Çin Halk Cumhuriyeti (PRC), hükümet destekli sömürüye öncülük etmeye devam ediyor. ÇHC siber casusluk grupları, 2022'de yedi olan sıfır gün güvenlik açığının sayısını 2023'te 12'ye çıkardı; bu, başka herhangi bir devlete atfedebileceğimizden daha fazla ve birkaç yıldır gözlemlediğimiz bir eğilimi sürdürüyor,” diye paylaştı analistler.
2023'te finansal motivasyona sahip gruplar yalnızca 10 sıfır günden yararlandı; FIN11 (diğer adıyla Lace Tempest), popüler kurumsal dosya paylaşım çözümlerinde sıfır günlerin istismar edilmesinden sonra Cl0p fidye yazılımının konuşlandırılmasını içeren pivotundan bu yana en verimli grup oldu.