Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) ve onun Amerikalı ortak kuruluşları Ulusal Güvenlik Ajansı (NSA) ve FBI, bugün, Rus devletiyle bağlantılı tehdit aktörleri tarafından güvenlik açıklarının geniş ölçekte sürekli olarak istismar edildiğini vurgulayan bir başka uyarı yayınladı.
En son uyarı, Moskova’nın Dış İstihbarat Servisi SVR tarafından hedef alınma riskiyle karşı karşıya olan kuruluşları, yamaları hızlı bir şekilde dağıtmaları ve yazılım güncellemelerine hazır olur olmaz önceliklendirmeleri konusunda uyarıyor.
SVR, APT29 veya daha hayali bir ifadeyle Rahat Ayı olarak bilinen gruba görev verdiğinden şüphelenilen bir dizi Rus teşkilatından biri. Cosy Bear, diğer pek çok şeyin yanı sıra, SolarWinds müşterilerini etkileyen Solorigate/Sunburst olayının ve ABD Demokratik Ulusal Komitesi’nin 2016’daki hacklenmesinin arkasındaydı.
NCSC operasyon direktörü Paul Chichester, “Rus siber aktörler, çeşitli sektörlerde yama yapılmamış sistemlerle ilgileniyor ve bu sistemlere erişme konusunda oldukça yetenekli ve bir kez girdiklerinde hedeflerine ulaşmak için bu erişimden yararlanabilirler” dedi.
“Tüm kuruluşlar siber savunmalarını güçlendirmeye teşvik ediliyor: danışma belgesinde belirtilen tavsiyeleri dikkate alın ve yamaların ve yazılım güncellemelerinin dağıtımına öncelik verin” diye ekledi.
Ajanslar, son zamanlarda hükümet ve diplomatik kurumları, düşünce kuruluşlarını, teknoloji şirketlerini ve finans kuruluşlarını hedef alma konusunda uzmanlaşan Cozy Bear’ın yabancı istihbarat toplamak için kullandığı en son taktiklerden bazılarını vurguladı.
İnternete bakan sistemleri tarayarak, geniş ölçekte yama yapılmamış güvenlik açıklarını bulduğu ve ileride daha fazla uzlaşma umuduyla bunları fırsatçı bir şekilde istismar ettiği biliniyor.
Bu nedenle, herhangi bir sektördeki herhangi bir kuruluş (sadece hedefli casusluk riskiyle karşı karşıya olanlar değil), Cosy Bear’ın kötü amaçlı altyapıyı barındırmak, ele geçirilen hesaplardan takip operasyonları yürütmek veya pivot etmek için savunmasız sistemlerinden yararlanması nedeniyle kendilerini zor durumda bulabilir. diğer ağlara.
Bu en çok, SolarWinds’in bilmeden ABD hükümet ağlarına basamak oluşturduğu Sunburst olayında görüldü.
Tavsiye niteliğindeki belge, Cozy Bear’ın çeşitli tedarikçi ürünlerinde kamuya açıklanmış çok sayıda güvenlik açığını kendi izinsiz girişlerine hizmet etmek amacıyla sürekli olarak kullandığını belgeliyor.
Bu sorunlardan bazıları beş yıldan uzun bir süre öncesine dayanıyor ve tümü açıklandı ve yamalandı. Toplu olarak çok çeşitli saldırı senaryolarını mümkün kılarlar.
Son zamanlarda CVE-2022-27924 ve CVE-2023-42793 olarak adlandırılan iki konu özellikle dikkat çekicidir.
Bunlardan ilki, Zimbra’da, kimliği doğrulanmamış bir kullanıcının hedeflenen bir örneğe rastgele komutlar eklemesine olanak tanıyan ve önbelleğe alınan rastgele girişlerin üzerine yazılmasına neden olan bir komut yerleştirme güvenlik açığıdır. Cozy Bear, dünya çapında yüzlerce alanda bu durumdan geniş ölçekte yararlandı ve kurbanlarıyla etkileşime girmek zorunda kalmadan kullanıcı kimlik bilgilerine ve posta kutularına erişmek için kullandı.
İkincisi, JetBrains TeamCity’de, kimlik doğrulamanın atlanmasına izin veren belirli yolların güvenli olmayan şekilde işlenmesinden kaynaklanan rastgele bir kod yürütme kusurudur.
Ortaklar, Cozy Bear’ın bilinen taktikleri, teknikleri ve prosedürlerine (TTP’ler) ve önceki hedeflemesine dayanarak, operasyonun ilk erişim, uzaktan kod yürütme ve ayrıcalık yükseltme için ek CVE’lerden yararlanma konusunda hem kapasiteye hem de ilgiye sahip olduğunu söyledi.