Yaygın olarak kullanılan bir yazılımdaki kritik bir güvenlik açığına ilişkin uyarılar ve manşetler yayınlandığında, siber güvenlik topluluğunun tepkisi kararlı ve net olmalıdır.
Bu, tam olarak bu yılın başlarında 19 Şubat’ta ConnectWise’ın, sistemleri uzaktan yönetmek için kullanılan popüler bir yazılım olan şirket içi ScreenConnect ürününün 23.9.8’in altındaki tüm sürümleri için bir güvenlik uyarısı yayınladığı senaryoydu. Uyarıda iki güvenlik açığına (CVE-2024-1709 ve CVE-2024-1708) atıfta bulunuldu ve kullanıcılardan derhal yama yapmaları istendi.
Normalde bu bir alarm sebebi olmazdı. Ancak zafiyetlerden birinin en yüksek ciddiyet seviyesi olan 10 CVSS puanı alması ve ConnectWise uyarısının “Kritik” olarak derecelendirilmesiyle, haber Huntress ekibinin Örümcek Adam duyularını harekete geçirdi.
Aciliyet ve belirsizlik ortasında, Huntress ekibi müdahalenin ön saflarında yer aldı ve aynı gün harekete geçti. Aşağıda, bu müdahaleyi tanımlayan hızlı müdahale, dikkatli koordinasyon ve toplum korumasına bağlılığın perde arkası bir görünümü yer almaktadır.
Siber ekiplerin kritik rolü: Uzmanlığı eyleme dönüştürmek
Kritik güvenlik açığı ve zorunlu eylem zamanlarında, siber ekiplerin yanıt ve düzeltmeyi hızlandırmak için kolektif uzmanlıklarını hızla uygulamaları son derece önemlidir. ConnectWise bülteninden birkaç saat sonra, Huntress ekibi, kimlik doğrulama atlama için güvenlik açığını silaha dönüştürecek bir kavram kanıtını başarıyla yeniden üretmek ve geliştirmek için bir araya geldi ve kullanıcıları tehditlere karşı oldukça savunmasız bırakan bu görünüşte basit istismar için “SlashAndGrab” terimini ortaya attı.
Alarmı çalan siber ekipler dikkatli ve hassas bir şekilde çalışmalı, ciddiyeti vurgularken net, eyleme geçirilebilir adımlar sağlamalıdır. Keşif sırasında ekip, 8.800’den fazla ConnectWise sunucusunun savunmasız kaldığını belirtti. Bu, kullanıcıların nasıl devam etmeleri gerektiğine dair net talimatlarla birlikte geçici bir düzeltme “aşısının” oluşturulmasını gerektirdi. Kullanıcıların sistemlerinde bu güvenlik açığının yayılmasıyla kolay hedef haline gelmesini istemedik.
Krizde yol almak için bir oyun kitabı
Mike Tyson’ın meşhur sözü “Herkesin suratına yumruk yiyene kadar bir planı vardır”. Ve topluluğa büyük olaylarda yardım ederken birkaç yumruk yiyeceksiniz. Bu yüzden takımlar planı oluşturmak için deneyime güvenmeli, oyun kitapları oluşturmalı ve bir iletişim kültürü geliştirmelidir.
Adım 1. Ne ile uğraştığınızı anlayın.
ConnectWise güvenlik açığı gibi durumlar, her ekibin tehdidi, oynadıkları rolü ve paylaşılacak doğru bilgileri anlamasıyla net roller ve iletişim gerektirir. İlk danışmanlıkta çok fazla ayrıntı verilmemiş olsa da, Huntress’ın tehdit araştırmacıları ve SOC analistlerinden oluşan ekibi, bu güvenlik açıkları hakkında mümkün olduğunca çok şey öğrenmek için hemen işe koyuldu.
Yol boyunca, pazarlama ve destek ekiplerini çabalarında hazırlamak için üst düzey, kritik bilgileri belgelemeye başladık. Birkaç saat içinde, istismarı anlayabildik ve bir kavram kanıtı (PoC) istismarı oluşturabildik. Bu, bu güvenlik açığının ne kadar temel olduğunun ve bir saldırganın bunu istismar etmesinin ne kadar kolay olacağının bir kanıtıdır.
Adım 2: Alarmı çalın
Alarmı harekete geçmeye teşvik eden ve savunmaları hızla oluşturan bir şekilde çalmak önemlidir. Danışma bildiriminin hemen ardından ekip, ScreenConnect’in savunmasız bir sürümüne sahip olan her Huntress ortağına ulaştı ve derhal yama yapılması gerektiğini yineledi. Saldırganlar için fırsat penceresini kapatmanın anahtarının hızlı iletişim ve azaltma olduğunu bildiğimizden, ortaklara net bir sonraki adımla birlikte 1.600’den fazla olay raporu gönderdik.
Karmaşıklığın bir başka katmanı: Huntress ekibi açığı kolayca yeniden yarattığında, sektörün düzeltme yapması için yeterli zaman olana kadar güvenlik açığı hakkında kamuya açık ayrıntılar vermek istemediğimizi biliyorduk. Bu bilgilerin tehdit aktörleri için kolayca erişilebilir olması çok tehlikeli olurdu ve onlara dolu bir silahın bilgi eşdeğerini vermek istemedik.
Elbette, sırrın ortaya çıkması uzun sürmedi. Saldırı ayrıntıları birçok tarafça paylaşıldı ve hem kamuoyunun hem de bilgisayar korsanlarının erişimine açıldı. Hemen topluluğa yardım etmeye, ayrıntılı bir analiz yayınlamaya, tespit rehberliği sağlamaya ve derhal yama yapma ihtiyacını vurgulamaya odaklandık. Bir kavram kanıtı kamuya açık hale geldiğinde, geniş çaplı iletişim etkilenenlerin bildirimleri alma olasılığını artırır. Savunucuları PoC ve uygulanabilir savunmalarla güçlendirmenin faydası, onu gizlemeye çalışmaktan daha fazla riski azaltır.
Adım 3: Cesaretli adımlar atın
Ellerimizi bağlayıp işlerin kötüye gitmesini beklemek yerine (gerçekten, Gerçekten kötü), bu konuda bir şeyler yaptık ve savunmasız sürümü çalıştıran ana bilgisayarlara aşı düzeltme ekini yayınladık. Bir düzeltme eki, kullanıcıların uygun şekilde yama yapması ve güncelleme yapması için zaman tanırken kötü aktörleri geçici olarak engelleyebilirdi. Birkaç saat içinde, düzeltme ekimiz ve ek tespit kılavuzumuz kullanılabilir hale geldi ve ekibimiz tarafından, ortaklar ve etkilenen kuruluşlar için adım adım ayrıntılarla birlikte kamuoyuyla paylaşıldı.
Daha fazla bilgi geldikçe, SlashAndGrab ile ilgili her şey hakkında yeni içerik ve bilgi ekledik. Şüpheye düştüğünüzde, proaktif olun. Bir ekibin meseleleri kendi ellerine alma ve hızlı bir şekilde iletişim kurma becerisi, topluluğun nasıl yanıt vereceği konusunda fark yaratabilir.
Daha keskin siber ekipler = daha güçlü yanıt
CEO’muz Kyle Hanslovan’ın dediği gibi, “Bu bok (kötüydü).” Ancak daha da kötüleşmesine gerek yoktu. Kriz olaylarında gezinmek için sağlam bir oyun kitabı içeren koordineli bir yanıtla, siber ekipler çözümün bir parçası olabilir ve topluluğu daha hızlı ve daha etkili bir şekilde koruyabilir.