Ulusal Siber Güvenlik Merkezi (NCSC), Avustralya, Kanada, Yeni Zelanda ve ABD’deki Five Eyes ortak ajanslarının yanı sıra, Log4Shell ve ProxyShell gibileri hala yüksek olan 2022’nin en çok yararlanılan 12 güvenlik açığının ayrıntılarını yayınladı.
Kolektif, kötü niyetli aktörler daha önce açıklanan yüksek profilli güvenlik açıklarını desteklemeye devam ederken, listelerinin sistemleri güncellemenin önemi hakkında bir uyarı işlevi gördüğünü söyledi. 2022 için listelenen en önemli kusurların yarısından fazlası, yamalar mevcut olmasına rağmen 2021 listesinde de yer aldı.
En çok listelenen hatalardan biri olan Fortinet FortiOS ve FortiProxy’deki bir SSL VPN kimlik bilgisi ifşa kusuru, 2018’e kadar uzanıyor.
NCSC esneklik ve geleceğin teknolojisi direktörü Jonathon Ellison, “Güvenlik açıkları ne yazık ki çevrimiçi dünyamızın ayrılmaz bir parçası ve tehdit aktörlerinin sistemleri tehlikeye atmak için bu zayıflıklardan yararlanmaya devam ettiğini görüyoruz” dedi.
“Müttefiklerimizle yaptığımız bu ortak danışma belgesi, kuruluşların risk altında olabileceklerini belirlemelerine ve harekete geçmelerine yardımcı olmak için 2022’de en çok kullanılan güvenlik açıkları hakkında farkındalık yaratıyor.
“Dayanıklılığı artırmak için, kuruluşları tüm güvenlik güncellemelerini derhal uygulamaya teşvik ediyoruz ve yazılım satıcılarını, sorumluluğun yükünü tüketicilerden uzaklaştırmaya yardımcı olmak için ürün tasarımlarının merkezinde güvenlik olmasını sağlamaya çağırıyoruz.”
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein şunları söyledi: “Bugün, saldırganlar, tasarım yoluyla güvenlik taahhütlerinin bir parçası olarak teknoloji sağlayıcıları tarafından ele alınabilecek ve ele alınması gereken güvenlik açıkları kategorilerinden yaygın olarak yararlanıyor.
“O güne kadar, kötü niyetli aktörler dünyanın dört bir yanındaki kuruluşları istismar etmeyi çok kolay bulmaya devam edecek. Ortaklarımızla birlikte, tüm kuruluşları ortak danışma belgemizi gözden geçirmeye, her kuruluşu bu güvenlik açıklarının azaltılmasına öncelik vermeye ve her teknoloji sağlayıcıyı bu güvenlik açıklarının yaygınlığını tasarım gereği azaltarak müşterilerinin güvenlik sonuçları için sorumluluk almaya çağırıyoruz.”
Eldeki kanıtlara göre, tehdit aktörlerinin bilinen güvenlik açıklarından yararlanma konusunda en fazla başarıyı kamuya açıklandıktan sonraki ilk 24 ay içinde elde ettikleri ve muhtemelen etkiyi en üst düzeye çıkarmak için açıklardan yararlanmayı hedefledikleri açıktır.
NCSC, tüm Birleşik Krallık kuruluşlarını, rutin olarak istismar edilen diğer 30 güvenlik açığının ayrıntılarını ve bunlar için hafifletme önerilerini de içeren – CISA aracılığıyla erişilebilen – tam listeyi okumaya teşvik ediyor.
İngiltere’deki okuyucular ayrıca NCSC’nin Erken Uyarı hizmetine kaydolabilirler. 2021’de Aktif Siber Savunma programına bir eklenti olarak başlatılan hizmetin kullanımı ücretsizdir ve kullanıcılara göre uyarlanmış uyarılardan oluşan filtrelenmiş bir tehdit istihbaratı akışı sağlar.
12 güvenlik açığı
Gözlemlenen en çok istismar edilen güvenlik açıkları şunlardır:
- CVE-2018-13379, Fortinet FortiOS ve FortiProxy’de bir SSL VPN kimlik bilgisi ifşa hatası;
- Topluca ProxyShell olarak bilinen CVE-2023-34472, CVE-2021-31207 ve CVE-2021-34523, Microsoft Exchange Server’da çeşitli şekillerde bir uzaktan kod yürütme (RCE) kusuru, bir güvenlik özelliğini atlama kusuru ve bir ayrıcalık yükseltme (EoP) kusuru ;
- CVE-2021-40539, Zoho ManageEngine ADSelfService Plus’ta bir RCE/kimlik doğrulama atlama güvenlik açığı;
- Atlassian Confluence Server ve Data Center’da isteğe bağlı bir kod yürütme hatası olan CVE-2021-26084;
- CVE-2021-44228, diğer adıyla Log4Shell, Apace Log4j2’deki bir RCE kusuru;
- CVE-2022-22954, VMware Workspace ONE Access and Identity Manager’daki bir RCE güvenlik açığı;
- CVE-2022-22960, VMware Workspace One Access, Identity Manager ve vRealize Automation’da uygun olmayan bir ayrıcalık yönetimi kusuru;
- CVE-2022-1388, F5 Networks BIG-IP’de eksik bir kimlik doğrulama güvenlik açığı;
- Birden çok Microsoft Office ürününü etkileyen bir RCE güvenlik açığı olan CVE-2022-30190;
- CVE-2022-26134, Atlassian Confluence Server ve Data Center’daki bir RCE güvenlik açığı.