ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğu-CVE-2024-9537’ye yeni bir güvenlik açığı ekledi. Bu güvenlik açığı, yaygın olarak kullanılan bir BT altyapısı izleme ve yönetim platformu olan ScienceLogic SL1’i (eski adıyla EM7) etkilemektedir. CISA’ya göre güvenlik açığı, SL1 ile paketlenmiş belirtilmemiş bir üçüncü taraf bileşeniyle ilgili ve bu da istismarın kesin niteliğinin belirlenmesini zorlaştırıyor. Bununla birlikte, derhal dikkat ve eylemi hak edecek kadar ciddidir.
ScienceLogic, 12.1.3+, 12.2.3+ ve 12.3+ sürümlerinden başlayarak SL1’in daha yeni sürümlerinde bu CVE-2024-9537 güvenlik açığını zaten gidermiştir. Ayrıca, 10.1.x, 10.2.x, 11.1.x, 11.2.x ve 11.3.x satırlarına kadar uzanan önceki sürümler için iyileştirme önlemleri mevcuttur. ScienceLogic SL1’in etkilenen sürümlerini çalıştıran kullanıcılara, kötüye kullanım riskini azaltmak için uygun yamaları veya güncellemeleri hemen uygulamaları önerilir.
Bu CVE-2024-9537 güvenlik açığını fidye yazılımı kampanyalarıyla ilişkilendiren somut bir kanıt henüz bulunmamakla birlikte, bunun siber saldırılarda kullanılması potansiyeli göz ardı edilemez. CISA, hafifletici önlemlerin mevcut olmaması durumunda kuruluşların, gereksiz maruziyetten kaçınmak için etkilenen ürünü kullanmayı bırakması gerektiğini vurguladı.
CVE-2024-9537 – Eylemin Zaman Çizelgesi ve Aciliyeti
Yeni eklenen bu güvenlik açığı, düzeltme için net bir zaman çizelgesiyle birlikte geliyor. Tüm Federal Sivil Yürütme Organı (FCEB) kurumlarının, CISA’nın Bağlayıcı Operasyonel Direktifi (BOD) 22-01 uyarınca 11 Kasım 2024’e kadar bu güvenlik açığını gidermesi gerekmektedir.
Federal ağlarda siber saldırı riskinin azaltılmasına yardımcı olmak için “Bilinen İstismara Uğrayan Güvenlik Açıklarının Önemli Riskinin Azaltılması” başlıklı BOD 22-01 uygulandı. Yönerge, ABD federal sistemlerinin güvenliğine önemli bir tehdit oluşturan bilinen Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) canlı bir listesi olarak hizmet veren KEV Katalogunun oluşturulmasının ana hatlarını çiziyor. FCEB kurumları, katalogda listelenen güvenlik açıklarını ilgili son tarihlerine göre düzeltmek ve böylece federal ağların siber güvenlik duruşunu güçlendirmekle görevlendirilmiştir.
BOD 22-01 doğrudan yalnızca FCEB kurumları için geçerli olsa da CISA, özel sektördekiler de dahil olmak üzere tüm kuruluşları benzer iyileştirme uygulamalarını benimsemeye güçlü bir şekilde teşvik etmektedir.
Güvenlik Açığı Yönetimi Üzerindeki Etki
CISA’nın CVE-2024-9537’yi KEV Kataloğuna eklemesi, siber tehditlerin gelişen doğasının bir hatırlatıcısıdır. KEV Kataloğu, ağ güvenliği için yakın bir risk oluşturan, aktif kullanımla açıkları vurgulayan dinamik bir araçtır. CISA, kataloğu güncel tutarak kuruluşların yeni ortaya çıkan tehditlerin önünde kalmasına yardımcı olur.
ScienceLogic SL1 güvenlik açığının dahil edilmesi, proaktif yamalama ve sistem güncellemelerinin önemini güçlendiriyor. BT ve güvenlik ekipleri dikkatli kalmalı ve kataloğu, güvenlik açığı yönetimi çabalarına öncelik vermek için kritik bir kaynak olarak ele almalıdır. KEV Katalogunda listelenen güvenlik açıklarının yamalanması, yalnızca bilinen saldırı vektörlerine karşı koruma sağlamakla kalmaz, aynı zamanda gelecekte veri ihlallerine, fidye yazılımı bulaşmasına ve diğer siber saldırı türlerine yol açabilecek olayların olasılığını da azaltır.
Kuruluşlar Ne Yapmalı?
ScienceLogic SL1 kullanan kuruluşların aşağıdaki adımları atması tavsiye edilir:
- Gerekli Güncellemeleri Uygulayın: Sistemlerinizin ScienceLogic SL1’in yamalı bir sürümünü, özellikle de 12.1.3+, 12.2.3+ veya 12.3+ sürümlerini çalıştırdığından emin olun. Daha eski sürümler için 10.1.x, 10.2.x, 11.1.x, 11.2.x ve 11.3.x sürümlerine yönelik mevcut düzeltme paketlerini uygulayın.
- Satıcı Yönergelerini inceleyin: Güvenlik açığının nasıl giderileceğine ilişkin satıcının talimatlarını izleyin. ScienceLogic, sorunu çözmek için güncellemeler sağladı ve bu yamaları uygulamak, riski azaltmanın en etkili yoludur.
- Riski Değerlendirin: Güvenlik açığı azaltılamıyorsa, bir çözüm bulunana kadar ScienceLogic SL1 kullanımına devam etmemeyi düşünün. Azaltılmamış bir güvenlik açığının potansiyel sonuçları, bir ürünün durdurulmasının kısa vadeli rahatsızlığından çok daha ağır basmaktadır.
- Güvenlik Açıklarına Öncelik Verin: Sistemlerinizde ilk önce hangi güvenlik açıklarının ele alınacağını belirlemek için CISA’nın KEV Kataloğunu kılavuz olarak kullanın. Katalog, aktif olarak kullanıldığı bilinen güvenlik açıklarını içerir; bu da bunların ağınıza doğrudan ve acil bir tehdit oluşturduğu anlamına gelir.
- Daha Geniş Bir Güvenlik Açığı Yönetim Programı Benimseyin: Düzenli sistem güncellemelerini, yama yönetimini ve sürekli izlemeyi içeren kapsamlı bir güvenlik açığı yönetimi stratejisi uygulayın. Güvenlik açıklarını belirleme ve giderme konusunda proaktif kalmak, saldırı yüzeyini büyük ölçüde azaltabilir ve gelecekteki olayların önlenmesine yardımcı olabilir.
BOİ 22-01’in Daha Geniş Etkileri
BOD 22-01, CISA’nın ABD federal ağlarının ve altyapısının dayanıklılığını artırmaya yönelik daha geniş bir çabasının bir parçasıdır. Direktif, modern siber güvenliğin kritik bir yönü olan risk temelli güvenlik açığı yönetimine artan ilgiyi yansıtıyor. CISA, yüksek riskli güvenlik açıklarının zamanında iyileştirilmesini zorunlu kılarak, federal kurumlar genelinde güvenlik açığı yönetimine yönelik standart bir yaklaşım oluşturulmasına yardımcı oluyor.
Ancak BOD 22-01’in etkisi federal düzeyin ötesine uzanıyor. Siber suçlular hedefler arasında ayrım yapmadığından, özel sektör kuruluşları ve diğer kuruluşların da benzer uygulamaları takip etmesi teşvik edilmektedir. Federal sistemlerde kullanılan aynı güvenlik açıkları, işletmeleri, sağlık kurumlarını, eğitim kuruluşlarını ve kritik altyapıyı hedeflemek için de aynı kolaylıkla kullanılabilir.
Büyüklüğü veya sektörü ne olursa olsun kuruluşlar, özellikle aktif istismar kanıtı bulunan güvenlik açıklarını ele alma konusunda proaktif kalmalıdır. Zamanında eylem, güvenli bir sistem ile maliyetli bir siber saldırı arasındaki fark olabilir.