WithSecure’a göre 2023 ve 2024’teki siber tehdit ortamına kitlesel istismar hakim olacak.
Edge hizmeti KEV güvenlik açığı eğilimleri
Bilinen Suistimal Edilen Güvenlik Açığı Kataloğu’ndaki (KEV) tüm uç hizmet ve altyapı Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) %64’ü, EPSS puanlarının (CVE’leri istismar olasılığına göre puanlayan bir ölçüm) 97,5’inci yüzdelik diliminin üzerinde bulunmaktadır. KEV’deki diğer tüm CVE’lerin yalnızca %23’ü 97,5’inci yüzdeliğin üzerindedir.
Ayrıca, son iki yılda KEV’ye eklenen uç hizmet ve altyapı CVE’lerinin ciddiyeti diğer CVE’lere göre ortalama %11 daha yüksektir.
2024 yılında KEV’e aylık olarak eklenen uç hizmet ve altyapı CVE’lerinin sayısı 2023’e göre %22 daha yüksek olurken, KEV’ye aylık olarak eklenen diğer CVE’lerin sayısı 2023’e kıyasla %56 azaldı.
Son zamanlarda yayınlanan birkaç rapor, kitlesel istismarın, fidye yazılımı olaylarının birincil taşıyıcısı olarak botnet’leri geride bıraktığını gösteriyor.
MOVEit, CitrixBleed, Cisco XE, Fortiguard’ın FortiOS’u, Ivanti ConnectSecure, Palo Alto’nun PAN-OS’si, Juniper’in Junos’u ve ConnectWise ScreenConnect gibi savunmasız yazılımların toplu olarak kullanılmasının neden olduğu güvenlik olaylarında hızlı bir tempo yaşandı.
Edge hizmetleri saldırganlar için son derece çekici hedeflerdir. İnternete açıktırlar ve uzaktaki kullanıcılara kritik hizmetler sağlamaları amaçlanır, böylece uzaktaki saldırganlar tarafından kötüye kullanılabilirler.
Altyapı cihazları saldırganlar için çekici hedeflerdir
Benzer şekilde altyapı cihazları da ağ yöneticileri tarafından kolaylıkla incelenemeyen ve izlenemeyen kara kutular olmaları ve EDR yazılımlarının kurulu olmaması nedeniyle saldırganlar için caziptir. Ağ yöneticilerinin güvenli olduklarını doğrulamaları zordur ve genellikle buna güvenmeleri gerekir. Bu cihazların belirli türleri aynı zamanda uç hizmetler de sağlar ve dolayısıyla İnternet’e erişilebilir.
WithSecure Intelligence Kıdemli Tehdit Analisti Stephen Robinson, “Kitlesel bir istismar olayının meydana gelmesi için gerekli olan tek şey, savunmasız bir uç hizmet, İnternet’ten erişilebilen bir yazılım parçasıdır” dedi.
“Sömürülen birçok uç hizmetin ortak noktası, bunların güvenlik duvarları, VPN ağ geçitleri veya e-posta ağ geçitleri gibi genellikle kara kutu benzeri cihazlara kilitlenen altyapı cihazları olmasıdır. Bunun gibi cihazlar genellikle bir ağı daha güvenli hale getirmeyi amaçlar, ancak bu tür cihazlarda defalarca güvenlik açıkları keşfedildi ve saldırganlar tarafından istismar edilerek hedef ağda mükemmel bir dayanak sağlandı” diye ekledi Robinson.
Araştırmalar, fidye yazılımı ve ulus devlet casusluk saldırganları için gözlemlenen yeni birincil saldırı vektörünün kitlesel istismar olduğunu ortaya koyuyor. Ayrıca, sıfır ve bir günlük güvenlik açıklarından yararlanmak için gereken yetenek ve uzmanlık, finansal motivasyona sahip siber suçlular için her zamankinden daha ulaşılabilir durumda.
Robinson, “Kitlesel istismarın birincil saldırı vektörü haline gelmesi muhtemeldir, çünkü ya çok fazla savunmasız uç hizmet vardır ya da saldırganlar ve savunucular, kitlesel sömürünün yaygınlığı nedeniyle artık savunmasız uç hizmetlerden daha fazla haberdardır” diye bitiriyor Robinson.