tarafından yayınlanan yeni bir tavsiye belgesine göre, hem devlet destekli hem de finansal motivasyona sahip tehdit aktörleri, teknoloji endüstrisi tarafından düzeltmeler veya yamalar sunulmadan önce kurbanlarını tehlikeye atmak için daha önce bilinmeyen güvenlik açıklarından veya sıfır günlerden giderek daha fazla yararlanıyor. Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) ve Amerika Birleşik Devletleri’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) dahil olmak üzere Five Eyes siber ajansları.
Ajanslar, toplu olarak 2023’ün en çok istismar edilen 15 güvenlik açığının bir listesini hazırladı ve istismar edilen güvenlik açıklarının çoğunluğunun sıfır gün olduğunu tespit etti; 2022’de bu oran yarıdan azdı. NCSC, bu eğilimin 2024 boyunca devam ettiğini söyledi.
NCSC, savunmacıların güvenlik açığı yönetimi söz konusu olduğunda oyunlarını geliştirmeleri gerektiğini, güncellemeleri geldiklerinde mümkün olduğu kadar hızlı uygulamaya ve mülklerindeki potansiyel olarak etkilenen tüm BT varlıklarını belirlediklerinden emin olmaya özellikle dikkat etmeleri gerektiğini söyledi.
Kuruluş ayrıca tedarikçileri ve geliştiricileri, tasarım gereği güvenlik ilkelerini ürünlerine uygulamak için daha fazlasını yapmaya çağırdı; bu, Beş Göz hükümetlerinin (Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri) özellikle bu konuda sesini duyurmaya başladığı bir konu. son 18 ay. Bunu yapmak, geliştirme sırasında kazara ortaya çıkan ve daha sonra avantaj elde edilebilecek güvenlik açıklarının riskinin azaltılmasına yardımcı olur.
NCSC baş teknoloji sorumlusu (CTO) Ollie Whitehouse, “Sıfır gün güvenlik açıklarının daha rutin bir şekilde ilk kez kullanılması, kötü niyetli aktörlerin ağlara sızmaya çalışması nedeniyle son kullanıcı kuruluşlarını ve satıcıları aynı şekilde ilgilendiren yeni normali temsil ediyor” dedi.
Whitehouse, “Ödün verme riskini azaltmak için, tüm kuruluşların yamaları derhal uygulayarak ve teknoloji pazarında tasarımı gereği güvenli ürünler konusunda ısrar ederek ön planda kalması hayati önem taşıyor” dedi.
“Ağ savunucularını güvenlik açığı yönetimi konusunda dikkatli olmaya, operasyonlarda durumsal farkındalığa sahip olmaya davet ediyoruz ve ürün geliştiricilerine, bu sinsi köstebek vurma oyununu kaynağında ortadan kaldırmaya yardımcı olmak için güvenliği ürün tasarımının ve yaşam döngüsünün temel bir bileşeni haline getirmeye çağırıyoruz. diye ekledi.
2023 yılında en sık istismar edilen güvenlik açıklarının tam listesi şu şekilde:
- Citrix NetScaler ADC ve NetScaler Gateway’deki bir kod ekleme hatası olan CVE-2023-3519;
- CVE-2023-4966, Citrix NetScaler ADC ve NetScaler Gateway’de (diğer adıyla Citrix Bleed) bir arabellek taşması güvenlik açığı;
- CVE-2023-20198, Cisco IOS XE Web Kullanıcı Arayüzünde bir ayrıcalık yükselmesi (EoP) sorunu;
- CVE-2023-20273, Cisco IOS XE’de bir web kullanıcı arayüzü komut ekleme hatası;
- Fortinet FortiOS ve FortiProxy SSL-VPN’de yığın tabanlı bir arabellek taşması kusuru olan CVE-2023-27997;
- Progress MOVEit Transfer’deki bir SQL enjeksiyon güvenlik açığı olan CVE-2023-34362, Cl0p fidye yazılımı çetesi tarafından kötü bir şekilde istismar edildi ve bunun etkileri hala hissediliyor;
- CVE-2023-22515, Atlassian Confluence Veri Merkezi ve Sunucusunda bozuk bir erişim kontrolü;
- Apache Log4j2’deki (diğer adıyla Log4Shell) bir uzaktan kod yürütme (RCE) sorunu olan CVE-2021-44228, 2021’in sonunda büyük bir olayın kaynağı ve yıllar sonra hala yaygın şekilde kötüye kullanılmaya devam ediyor;
- CVE-2023-2868, Barracuda Networks ESG Cihazında uygunsuz bir giriş doğrulama hatası;
- CVE-2022-47966, Zoho ManageEngine’de bir RCE sorunu;
- PaperCut MF/NG’de uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2023-27350;
- Microsoft Netlogon’daki bir EoP güvenlik açığı olan CVE-2020-1472, artık ele alınmaması için hiçbir mazeret bulunmayan başka bir yüksek profilli tarihi olayın kaynağı;
- CVE-2023-427983, JetBrains TeamCity’de bir kimlik doğrulama atlama hatası;
- CVE-2023-23397, Microsoft Office Outlook’ta Rus casuslar tarafından yaygın olarak kullanılan bir EoP sorunu;
- Ve son olarak, bir o kadar da önemlisi, ownCloud grafiğindeki bir bilgi ifşa güvenlik açığı olan CVE-2023-49103.
CISA’dan indirilebilen tam liste, 2023 boyunca rutin olarak istismar edildiği gözlemlenen bir dizi başka sorunun ayrıntılarını da içeriyor; bunların arasında Ivanti ürünlerinde Ağustos 2023’te açıklanan iki güvenlik açığı ve istismar edilen kötü şöhretli Fortra GoAnywhere kusuru yer alıyor. yine Cl0p çetesi tarafından.