Sıfır Günler Doğada Sömürülüyor

3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Yama Yönetimi

Casusluk Grupları ve Ticari Gözetleme Satıcılarının Pek Çok Sıfır Gün İstismarıyla Bağlantısı Var

Mathew J. Schwartz (euroinfosec) •
27 Mart 2024

Google'ın bildirdiğine göre, yeni sıfır gün güvenlik açıkları saldırganlar tarafından sıklıkla gözetleme ve casusluk amacıyla aktif olarak istismar edilmeye devam ediyor.

Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma

Teknoloji devinin, kusur kamuya açıklanmadan önce saldırganlar tarafından istismar edilen güvenlik açıklarına ilişkin en son incelemesi (diğer adıyla sıfır gün istismarları), bu tür güvenlik açıklarının 2022'de 62'den 2023'te 97'ye yükseldiğini gösteriyor. Bu, rekor kıran 106 sıfırdan çok az bir rakam. 2021'de istismar edileceği bilinen günlük güvenlik açıkları.

Sıfır gün güvenlik açıkları tehlikelidir çünkü istihbarat toplamaya veya siber suçlara yönelen saldırganların, çoğu zaman çok geç olana kadar hedeflerinin haberi olmadan kurbanları sessizce toplamasına olanak tanır. Öyle olsa bile, her yıl bulunan yeni sıfır gün açıklarının sayısını saymak, işlerin iyiye mi yoksa kötüye mi gittiğinin kısa bir göstergesi değildir. Bu tür araştırmalar, saldırganların stratejilerine ışık tutsa da, halihazırda mevcut olan tespit edilmemiş sıfır gün saldırılarının miktarını da açıklayamıyor.

Geçen yıl keşfedilen 97 yeni sıfır gün istismarından, Google'ın Tehdit Analizi Grubu ve Mandiant olay-müdahale bölümünün raporu, bunların 48'inin ticari gözetleme sağlayıcıları veya ulus devlet casusluk kampanyaları ve 10'unun ise finansal motivasyona sahip siber suçlular olduğunu belirtiyor.

Araştırmacılar, Pekin tarafından desteklenen ulus-devlet bilgisayar korsanlarının, 2022'de yedi olan güvenlik açıklarından 12'sini kullanarak Çin hükümetinin diğer uluslara kıyasla sıfır gün istismar hakimiyetini sürdürdüğünü söyledi. Bu arada ticari casus yazılım satıcıları, geçen yıl bilinen tüm mobil ve tarayıcı sıfır gün güvenlik açığı istismarlarının üçte ikisini oluşturdu.

Araştırmacılar, siber suç faaliyetlerine atfedilen 10 sıfır gün için, Microsoft ve diğerleri tarafından Clop fidye yazılımı operasyonuna bağlanan FIN11 tehdit grubunun üç farklı sıfır gün güvenlik açığından yararlandığını, diğer dört sıfır gün güvenlik açığından ise en az bir kişi tarafından ayrı ayrı yararlanıldığını söyledi. dört fidye yazılımı grubu: Akira, Clop, LockBit ve Nokoyawa.

2023'teki sıfır gün güvenlik açıklarının yaklaşık üçte ikisi, son kullanıcı platformlarında ve işletim sistemleri, mobil cihazlar, tarayıcılar ve diğer uygulamalar gibi ürünlerde mevcuttu. En fazla sayıda yeni sıfır gün, 17 açıkla Windows'u etkiledi; bunu 11'le Safari ve dokuzla Chrome tarayıcıları ve her biri dokuzla Android ve iOS mobil işletim sistemleri izledi. MacOS veya Firefox'ta 2022'de iki tane olan yeni sıfır gün sayısı, 2023'te ortaya çıkmadı.

Araştırmacılar, birçok satıcının yazılımlarını güvence altına alma çabalarının etki yarattığını söyledi. “Apple, Google ve Microsoft gibi son kullanıcı platformu satıcıları, yararlanabilecekleri sıfır gün aktörlerinin türleri ve sayısı üzerinde net bir etkiye sahip olan kayda değer yatırımlar yaptılar” dediler. “Geçmiş yıllarda sıradan olan güvenlik açıkları bugün neredeyse yok.”

Google araştırmacıları, JavaScript güvenlik açıklarından yararlanmayı zorlaştıran Safari ve Chrome geliştiricilerini övdü ve Google'ın 2022'de, o zamana kadar bulunan tüm kusurların yarısını oluşturan, serbest kullanım sonrası güvenlik açıklarına karşı koruma sağlamak üzere tasarlanan MiraclePtr for Chrome'u tanıtmasının etkisini değerlendirdi. tarayıcıda. Raporda, “2023 yılında, Chrome'un sıfır günlerini görmeye başladığımızdan bu yana ilk kez Chrome'da herhangi bir serbest kullanım sonrası güvenlik açığından yararlanılmadı” denildi.

Geçen yıl son kullanıcı platformları ve ürünlerinde bulunan güvenlik açıklarının üçte ikisinin ötesinde kalan üçte birlik kısım, güvenlik yazılımı ve cihazları da dahil olmak üzere daha kurumsal odaklı teknolojileri içeriyordu. Araştırmacılar, 2022'ye göre %64 artış gösteren bu 36 güvenlik açığının, saldırganların kurumsal satıcılara giderek daha fazla odaklandığını yansıttığını söyledi. 2023'te yeni sıfır gün saldırılarıyla hedeflenen 21 benzersiz satıcı ürünü saydılar; önceki yıl bu sayı 17'ydi. 2023'teki yaygın sıfır gün saldırıları, Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager Mobile ve Sentry ve Trend Micro Apex One gibi ürünlerden yararlandı.

Her yıl doğada tespit edilen sıfır gün güvenlik açıklarının miktarını ölçmek hikayenin tamamını anlatmıyor. Bir gözetleme veya casusluk kampanyasının sonucu, en azından kamuoyu açısından hiçbir zaman açığa çıkmayabilir ve yalnızca bir avuç hedefi etkileyebilir. Tersine, bir saldırganın elindeki tek bir kusur bile çok daha fazla sayıda hedefi etkileyebilir; örneğin Clop fidye yazılımı grubunun Mayıs 2023 sonlarında Progress Software'in MoveIT güvenli dosya aktarım aracındaki sıfır gün kusurundan toplu olarak yararlanması gibi. Siber güvenlik firması Emisoft tarafından hesaplanan, bu kampanyadan kaynaklanan en son kurban sayısı, etkilenen 2.769 kuruluş ve en az 95 milyon kişinin açığa çıktığına dair bilgiler bulunuyor.

Sıfır günler ilgi odağı olabilirken, kurbanın yamayı yüklemesinden önce saldırganlar tarafından istismar edilen bilinen güvenlik açıklarına atıfta bulunan, n-gün olarak adlandırılan başka bir kalıcı sorun varlığını sürdürüyor. Araştırmacılar, özellikle ticari casus yazılım satıcılarının, APT ekiplerinin ve fidye yazılımı gruplarının günlük kritik kusurları hedeflemeye devam ettiğini söylüyor (bkz: Muhtemelen Çinli Hacking Yüklenicisi N-Days'i Hızlıca Sömürüyor).