Mandiant’ın yeni bir raporu, bir yama yayınlanmadan önce veya yayınlandıktan sonra güvenlik açıklarından yararlanmaya kadar geçen ortalama sürenin 2022’de 2021’de 32 gün iken 2023’te yalnızca beş güne düştüğünü ortaya koyuyor.
Bunun bir nedeni, 2023’te sıfır gün güvenlik açıklarından (satıcılar tarafından bilinmeyen, yama bulunmayan) yararlanmanın, n gün kusurlarından (yamaların mevcut olduğu, kamuya açıklanmış hatalar) yararlanılmasını önemli ölçüde geride bırakmasıdır. Bir diğeri ise, n günlük istismarın ifşa edildikten sonra daha hızlı bir şekilde gerçekleşmeye devam etmesidir.
Ek bulgular
Mandiant’ın analistleri, 2023’te açıklanan ve ilk kez sıfır gün (%97 veya %70) veya n gün (%41 veya %30) olarak istismar edilen 138 güvenlik açığını analiz etti.
Öyle görünüyor ki, sıfır günler saldırganlar tarafından giderek daha fazla tercih ediliyor ve bunun nedeni, sıfır günlerin daha iyi tespit edilmesi veya bunlardan yararlanmadaki daha yüksek başarı oranı olabilir.
Analistler, n günlük güvenlik açıklarından büyük olasılıkla yamanın yayınlanmasından sonraki bir ay içinde yararlanılacağını ve neredeyse tamamının altı ay içinde sömürüldüğünü tespit etti.
N günlük kullanım zaman çizelgesi (Kaynak: Mandiant)
Analizleri, bir istismarın kamuya açıklanması ile vahşi doğada kullanımının zaman çizelgesi arasında tutarlı bir korelasyon olmadığını doğruladı.
Bir güvenlik açığının medyadan gördüğü ilgi, yararlanma zaman çizelgelerini tahmin etmek için de kullanılamaz. “2023’te açıklanan ve medyada yer alan güvenlik açıklarının %58’inin doğada istismar edildiği bilinmiyor ve en az bir kamuya açık kavram kanıtı (PoC) veya istismara sahip olanların %72’sinin istismar edildiği bilinmiyor. vahşi” diye belirttiler.
Kullanımın karmaşıklığı ve güvenlik açığının saldırganlar açısından değeri, bir güvenlik açığından ne kadar hızlı yararlanılacağını tahmin etmede daha önemli faktörler gibi görünmektedir.
Analistler, örneğin WordPress için WooCommerce Payments eklentisini etkileyen uygunsuz bir kimlik doğrulama güvenlik açığı olan CVE-2023-28121’in, bir istismar kullanıma sunulduktan hemen sonra istismar edildiğine, CVE-2023-27997 ise yığın tabanlı bir arabellek taşması olduğuna dikkat çekti. Fortinet FortiOS’un SSL/VPN bileşeninin devreye alınması, kamuoyunun hemen dikkatini çekmesine ve açıklardan yararlanılmasına rağmen çok daha uzun sürdü.
Bunun nedenlerinden biri, CVE-2023-28121’in istismar edilmesinin çok daha basit olması ve fırsatçı düşmanların otomatik istismar kampanyalarına izin vermesidir.
“Öte yandan, CVE-2023-27997, veri yürütme önleme (DEP) ve adres alanı düzeni rastgeleleştirme (ASLR) dahil olmak üzere tipik olarak çeşitli standart ve standart olmayan korumaya sahip sistemlere karşı yığın tabanlı bir arabellek taşmasından yararlanmayı gerektirir. özel bir karma ve XOR mekanizmasının mantığında gezinmek gibi. Hedeflenen sistemlerin halihazırda birden fazla hafifletici önlemin mevcut olduğu gerçeğine ek olarak, söz konusu olan çoklu karmaşıklıklar göz önüne alındığında, bu güvenlik açığından ne kadar az zaman verimli ve güvenilir bir şekilde yararlanılacağını görebiliriz,” diye açıkladılar.
Böyle bir çaba genellikle daha büyük kuruluşların ağlarındaki ayrıcalıklı sistemlerden ödün vermenin değerini gören, teknik açıdan bilgili ve ısrarcı saldırganlar tarafından gerçekleştirilir, ancak bu genellikle biraz zaman alır.
Hızlı yama yapmanın önemi
Analistler, “Keşfedilen güvenlik açıklarının miktarı zamanla arttıkça, tehdit aktörlerine bu zayıf noktalardan yararlanmaları için daha fazla fırsat sunuluyor” dedi ve tehdit aktörlerinin, yamalar yayınlandıktan aylar veya yıllar sonra güvenlik açıklarından faydalandıklarına dikkat çekti (kanıtlandığı gibi) CISA tarafından Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna sürekli olarak eski güvenlik açıkları eklenmektedir.
Siber suçlular, daha geniş bir ürün yelpazesindeki bilinen güvenlik açıklarından yararlanma konusunda kesinlikle daha hızlı hale geliyor ve bu da uygun şekilde önceliklendirilmiş ve hızlı yama uygulamayı her zamankinden daha önemli hale getiriyor.
“Mevcut teknolojilerdeki bu artış, saldırı yüzeylerini genişletiyor ve tek bir savunmasız teknolojinin sistemleri ve ağları yanal olarak nasıl etkileyebileceğini düşünmenin önemini güçlendiriyor. Mandiant analistleri, şu sonuca vardı: Kötüye kullanım meydana geldiğinde, etkilenen sistemlerin ve verilerin kapsamını sınırlamak için bölümlere ayrılmış mimarilere ve erişim kontrolü uygulamalarına öncelik verilmelidir.”