Cyble güvenlik açığı istihbarat birimi, Spring Java çerçevesine ve yüz binlerce Nesnelerin İnterneti (IoT) cihazına yönelik son siber saldırıları ayrıntılarıyla anlatan bir rapor paylaştı. Rapor, iyi bilinen güvenlik açıklarını hedef alan 30’dan fazla aktif saldırı kampanyasına ışık tutuyor.
Bunlar arasında Spring Java çerçevesini etkileyen kritik bir güvenlik açığı olan CVE-2024-38816’ya odaklanıldı. Raporda ayrıca 400.000’den fazla saldırının IoT cihazlarıyla bağlantılı bir güvenlik açığından yararlandığı vurgulanıyor.
Cyble Güvenlik Açığı İstihbarat Birimi, Çoklu Sistemlerdeki Temel Kusurları Vurguluyor
CVE-2024-38816: Spring Java Çerçevesinden Yararlanma
CVE-2024-38816, şu anda Ulusal Güvenlik Açığı Veritabanı (NVD) tarafından değerlendirilen, yaygın olarak kullanılan Spring Java çerçevesinde ciddi bir yol geçiş güvenlik açığını temsil ediyor. Bu güvenlik açığı, saldırganların kötü amaçlı HTTP istekleri oluşturmasına ve Spring uygulamasının çalıştığı sistemdeki hassas dosyalara erişme potansiyeline sahip olmasına olanak tanır. Özellikle, bir FileSystemResource konumuyla yapılandırılmışken statik kaynaklara hizmet vermek için RouterFunctions’ı kullanan uygulamalar özellikle risk altındadır.
Daha da önemlisi, belirli savunmalar bu kötü niyetli istekleri engelleyebilir. Spring Security HTTP Güvenlik Duvarı etkinse veya uygulama Tomcat veya Jetty gibi platformlarda barındırılıyorsa bu saldırılar etkili bir şekilde azaltılabilir.
CVE-2020-11899: Treck TCP/IP Yığın Güvenlik Açığı
Güvenlik açığı istihbarat raporu ayrıca, Treck TCP/IP yığınında bulunan ve 6.0.1.66’dan önceki sürümleri etkileyen orta önemde bir sınır dışı okuma güvenlik açığı olan CVE-2020-11899’u da tanımlıyor. Bu güvenlik açığı, veri hırsızlığı ve yetkisiz cihaz kontrolü dahil olmak üzere ciddi riskler oluşturan “Ripple20” serisinin bir parçasıdır. Cyble’ın sensörleri, 9 ile 15 Ekim 2024 tarihleri arasında bu güvenlik açığından yararlanan ve yönetici ayrıcalıkları kazanmayı amaçlayan şaşırtıcı 411.000 saldırı tespit etti.
Ayrıca, CVE-2020-11900 gibi ek “Ripple20” güvenlik açıklarına yönelik saldırılar da kaydedildi; bu, IoT ortamlarını işleten kuruluşların bu güvenlik açıklarını değerlendirme ve gerekli azaltımları uygulama ihtiyacını vurguladı.
Sistemlere Yönelik Devam Eden Tehditler
Cyble’ın güvenlik açığı istihbarat raporu, Java çerçevesindeki ve IoT cihazlarındaki güvenlik açıklarının ötesinde, Linux sistemlerine yönelik tehditlerin devam ettiğini ve siber suçluların paket yöneticileri aracılığıyla kötü amaçlı yazılım dağıtmak için gelişmiş yöntemler kullandığını ortaya koyuyor. CoinMiner, Mirai ve IRCBot gibi aktif tehditler hâlâ yaygın.
Ek olarak, PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) ve AVTECH IP kameralarında (CVE-2024-7029) önceden belirlenen güvenlik açıkları, tehdit aktörlerinin dikkatini çekmeye devam ederek, acil tedbirli olma ihtiyacını vurgulamaktadır. siber güvenlik önlemleri.
Dikkate değer bir gelişme olarak Cyble güvenlik açığı istihbarat raporu, kimlik avı girişimlerinde keskin bir artış olduğunu bildirdi ve bu hafta 478 yeni kimlik avı e-posta adresi belirledi; bu tüm zamanların en yüksek rakamı. Güvenlik açığı istihbarat raporu, sahte geri ödeme iddiaları ve piyango dolandırıcılıkları da dahil olmak üzere çeşitli dolandırıcılık kampanyalarını ayrıntılarıyla anlatıyor ve siber suçluların şüphelenmeyen kişileri istismar etmek için kullandığı çeşitli taktikleri gösteriyor.
Raporda ayrıca çeşitli küresel konumlarda tespit edilen çeşitli kaba kuvvet saldırıları da özetleniyor. En çok hedeflenen limanlar arasında 22, 3389 ve 445 yer alıyor ve Vietnam ve ABD kaynaklı kayda değer faaliyetler görülüyor. Güvenlik analistlerine, şüpheli IP adreslerini engelleyerek ve hedeflenen bağlantı noktalarını güvence altına alarak savunmaları korumaları çağrısında bulunuluyor.
Azaltma Önerileri
Bu tür tehditleri azaltmak için kuruluşların, son dönemdeki dolandırıcılıklarla ilişkili kötü amaçlı URL’leri ve e-posta adreslerini engellemek, dahili ağ uyarılarını rutin olarak izlerken açık güvenlik açıklarını derhal yamamak ve bilinen kaba kuvveti engellemek için şüpheli ASN’leri ve IP’leri sürekli olarak kontrol etmek de dahil olmak üzere çeşitli proaktif güvenlik önlemleri alması gerekir. kaynaklar.
Ayrıca, sunucular ve hassas uygulamalar için karmaşık parolaların kullanılmasının yanı sıra, kaba kuvvet girişimlerini önlemek ve düzenli parola güncellemelerini zorunlu kılmak için varsayılan kullanıcı adlarını ve parolaları değiştirmek de önemlidir. İşletmeler bu önerileri uygulayarak Cyble’ın güvenlik açığı istihbarat raporunda tanımlanan aktif tehditlere, özellikle de Spring Java çerçevesini ve IoT cihazlarını hedefleyenlere karşı savunmalarını geliştirebilirler.