Kenar cihazlarından istismar, eksik çok faktörlü

Siber suç, sahtekarlık yönetimi ve siber suç, kimlik ve erişim yönetimi

Fidye yazılımı olaylarının% 70’i saldırganlara izler, sadece oturum açıyor, araştırmacılar uyarıyor

Mathew J. Schwartz (Euroinfosec) •
31 Mart 2025

Bilgisayar korsanları, uzaktan erişimi ve büyüyü sıradan bir şekilde çekebilecek matris düzeyinde sihirbazlar olduğu için kalıcı bir üne sahip olabilir.

Ayrıca bakınız: 2024 Tehdit Avı Raporu: Modern rakiplerin altına alınmasına ilişkin bilgiler

Gerçek çok daha prosaik. Uzaktan saldırganlar için teslim etmeye devam eden en iyi taktiklerden ikisini alın: başlangıç ​​erişimini kazanmak için eski ağ donanımındaki bilinen güvenlik açıklarını kullanmak ve giriş yapmak için çalıntı çalışan kimlik bilgilerini kullanmak.

Cisco Talos’tan yapılan bir raporda, 2024’teki kolektif hack-saldırı stratejilerini gözden geçiren “siber suçlular büyük ölçüde gizli ve verimliliğe eğildi, karmaşık kötü amaçlı yazılım ve sıfır gün istismarları üzerinde basit teknikleri tercih etti.”

Zaman para, özellikle siber suçlar için. Hacker’ların Modus Operandi kalıyor gibi görünüyor, eğer işe yararsa, inanmayı bırakmayın.

Fidye yazılımı kullanan saldırganlar bu stratejinin en önde gelen savunucuları arasındadır. Cisco Talos, geçen yıl araştırdığı fidye yazılımı olaylarının% 70’inde, ilk erişimin geçerli kimlik bilgilerini kullanarak kurumsal ağlara giriş yapan saldırganlara kadar izlendiğini söyledi. Bu kimlik bilgileri genellikle bilgi çalan kötü amaçlı yazılımlarla çalınır ve “günlüklerin bulutları”, pazar yerleri veya telgraf kanalları aracılığıyla toplu olarak satılır. Alıcılar, çoğu zaman sektör ve yıllık gelir tarafından düzenlenen geniş bir mevcut seçenek kataloğu arasından seçim yapabilir.

Saldırganlar, bir kuruluşun hangi savunmalara sahip olduğu konusunda parolalara girdikten sonra ne olur. Cisco Talos araştırmacıları, tüm vakaların yaklaşık üçte birinde görüldüğü gibi, ihlale yol açan bir numaralı sorunun, saldırganlara kurumsal sistemlere “kolay erişim” veren bir tür çok faktörlü zayıflık içerdiğini buldu.

Bu tür zayıflıklar, özellikle VPN erişimi için – hiçbir multifaktör koruması olmadığını, yani yalnızca şifreler korumalı erişim veya bazı durumlarda hiçbir şifre içermemesini içeriyordu. Cisco Talos tarafından incelenen şifreyi yenen saldırılarda, yaklaşık yarısı şifre püskürtme izliyor, yani saldırganlar yaygın olarak kullanılan şifrelerle hesaplara çarptı ve hangi erişim sağladığını görmek için.

Çok faktörlü kimlik doğrulaması bu tür saldırıları açıkça engeller. Ancak gözlemlenen MFA zayıflıklarının dörtte biri, kullanıcılarının devreye girmesine izin veren kuruluşları da içeriyordu, yani kayıt yaptırmadılar.

Yerinde bile, MFA gümüş mermi değildir. Parola hedefleme saldırılarının% 22’sinde Cisco Talos, saldırganların MFA bombalamasını istihdam ettiğini söyledi – aka MFA yorgunluğu – “kurbanın cihazını, giriş talebini onaylamalarını/kabul etmelerini isteyen MFA itme bildirimleri ile doldurduklarını söyledi.

Savunmanın pek çok yönünde olduğu gibi, kuruluşlar bu tür saldırıları gerçekleştirmeyi zorlaştırmaya çalışmalıdır. Cisco Talos, “Bu saldırı, kullanıcı eğitimini geliştirerek ve başarısız MFA isteklerinin sayısını tek bir IP adresinden veya cihazdan sınırlandırarak hafifletilebilir.” Dedi.

Ateş Altında Edge Cihazlar

Çalıntı kimlikleri kullanmanın yanı sıra, ulus -devlet grupları da dahil olmak üzere birçok saldırgan, bir kurbanın ağına ilk erişimi denemek ve kazanmak için düzenli olarak hedef kenar cihazlarını hedefleyin (bakınız: Edge Cihazlar, kütle kaba kuvvet şifre saldırılarında artışla yüzleşir).

Birçok ihlal, henüz kurulmamış olan bu cihazlardaki bilinen güvenlik açıkları için yamalara kadar izler. Cisco Talos’un geçen yıl araştırdığı vakalardan, 2021’den kalma en çok hedeflenen en iyi 10 güvenlik açıklarından biri – o zaman, ilgili yama piyasaya sürüldü.

Geçen yıl saldırganlar tarafından istismar edilen en iyi 10 güvenlik açığı birçok farklı cihaz türünü içeriyordu: kontrol noktası güvenlik duvarı/vpn (CVE-2024-24919), D-Link ağa bağlı depolama aygıtları (CVE-2023-1383), TP-Link Router (CVE-Link ALTO, Palo. (CVE-2024-3400, CVE-2024-0012), Juniper Network Cihaz Yazılımı (CVE-2023-36845), Ivanti Güvenlik Uç Noktası Aygıt Yöneticisi (CVE-2021-44529, CVE-2023-38035), OSGEO Sunucusu (CVE-2024-36401), OSGEO Sunucusu (CVE-2024-36401).

Bilinen güvenlik açıklarını çalıştıran cihazlar, Kaiten, Mirai, Miori, Moobot ve Gafgyt, AKA Bashlite gibi kötü amaçlı yazılımların sürümlerini veya varyantlarını kullanılarak oluşturulan botnetlerden yararlanmak kolay ve ölçekte olabilir.

Bilgisayar korsanları, botnetleri fidye yazılımı grupları ve ulus-devlet bilgisayar korsanlarına ilk erişim elde etmek, diğer uç noktalara ve bulut hizmetlerine saldırmak ve dağıtılmış hizmet reddi saldırılarını başlatmak da dahil olmak üzere çeşitli amaçlar için kullanır (bkz: bkz: bkz: bkz: bkz: Sömürülen TP-Link Güvenlik Açığı Botnet Tehditleri).

Araştırmacılar, botnet inşa etmenin ötesinde, fidye yazılım gruplarının Ivanti Kususu CVE-2023-38035’i hedeflemeye bağlı olduğunu söyledi.

Birçok kuruluş, yama yönetim planlarına öncelik vermek ve yürütmekle mücadele etmektedir. Eğer öyleyse, araştırmadan büyük bir paket, Cisco Talos tarafından izlenen en iyi 10 güvenlik açığının üçünün-kontrol noktası VPN Zero-Day Kusur CVE-2024-24919 ve D-Link donanım güvenlik açıkları CVE-2024-3273 ve CVE-2024-3272-tüm ağ cihazı hedeflemenin yarısından daha fazla hesaplanmasıdır. D-link kusurları özellikle dikkat çekicidir, çünkü üreticinin “yaşam sonu” olarak gördüğü cihazları etkiler, yani yamalar yapmadı ve yayınlamayacaktır.

Araştırmacılar, “Bu, bir kuruluşun ağının EOL bileşenlerini mümkün olan en kısa sürede hizmetten çıkarmanın ve değiştirmenin öneminin altını çiziyor.” Dedi.

Güvenlik uzmanları uzun zamandır kuruluşlar artık ağ cihazlarını güncelleyemezlerse, bunları önemsiz hale getirmeleri gerektiği konusunda uyardı. Başka bir şey hackerlar için hayatı kolaylaştırır.