Yama uygulanmamış yazılım güvenlik açıkları, keşfedildikten çok sonra bile siber suçlular için cazip hedefler olmaya devam ediyor. Eski sorunlar kendi başlarına ortadan kalkmayacak. Barracuda tarafından yapılan bir analiz, bunun ne kadar tehlikeli olabileceğini gösteriyor.
Tespit edilen yazılım açıklarının artık tehlikeli olmadığına inanmak ölümcül bir yanılgı olabilir. Şu anda kendi bilişim altyapılarında yapacak çok daha önemli işler olduğu için acilen ihtiyaç duyulan geçidi kapatmak için artık ihmalkarlık yapıp beklemeyi düşünen herkes büyük bir yanılgı içindedir. Çünkü birçok bilgisayar korsanının güvendiği ve yamanın görünmediği yerde tekrar kontrol ettiği şey tam da bu ihmaldir.
Bilgisayar korsanları yeni ve eski güvenlik açıklarını arar
Bilgisayar korsanları, başka bir yerde yeni, bilinmeyen güvenlik açıkları aramak için yalnızca BT ağlarından çekilmezler. Güvenlik açıkları keşfedildikten yıllar sonra bile hala açık olan sistem sayısı endişe verici. Barracuda güvenlik uzmanları, son iki ayda Barracuda sistemleri tarafından engellenen saldırılarla ilgili verileri yakın zamanda analiz etti. Yakın zamanda yamalanan Microsoft ve VMware güvenlik açıkları için her gün yüzbinlerce otomatik tarama ve saldırının yanı sıra binlerce tarama buldular. Aşağıda saldırı modelleri daha detaylı incelenmekte ve şirketlerin altyapılarını koruyabilecekleri önlemler belirlenmektedir.
Düzeltme eki uygulanmamış yazılım güvenlik açıkları
Microsoft güvenlik açığı Hafnium ilk olarak Mart 2021'de açıklandı. Yararlanılan güvenlik açıkları CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 idi. CVE-2021-26855, Exchange'de bir saldırganın rastgele HTTP istekleri göndermesine ve bir Exchange sunucusu olarak kimlik doğrulaması yapmasına olanak tanıyan bir Sunucu Tarafı İstek Sahtekarlığı (SSRF) güvenlik açığıdır. CVE-2021-26855 tercihen savunmasız sistemleri belirlemek için kullanılır. Kalan güvenlik açıkları, sözde web kabukları da dahil olmak üzere diğer açıkları çalıştırmak için bu güvenlik açığına zincirlenmiş gibi görünüyor. Web kabuğu, rastgele komutlar yürüterek bir web sunucusuna uzaktan erişime ve kontrole izin veren kötü amaçlı bir web tabanlı arabirimdir.
Mart ayının başından bu yana güvenlik analistleri, CVE-2021-26855 için araştırma girişimlerinde başlangıçta ılımlı ve daha sonra önemli bir artış fark ettiler.
VMware vCenter Server'daki güvenlik açıkları
CVE-2021-21972 tanımlayıcısına sahip ikinci bir ciddi güvenlik açığı, bu yılın başlarında İnternet üzerinden erişilebilen 6700'den fazla VMware vCenter sunucusunu etkiledi. Suçlular yama uygulanmamış bir sunucunun kontrolünü ele geçirebilir ve bir şirketin tüm ağına sızabilir. Barracuda'nın analistleri, CVE-2021-21972 için düzenli olarak tarama yapmaya devam etti. Sondajlarda bir düşüş olsa da bu böyle kalmak zorunda değil. Saldırganlar bilinen yüksek etkili güvenlik açıkları listesini inceledikçe bu taramaların zaman zaman tekrar artması beklenebilir.
Bu iki olay, saldırganların yamalar ve hafifletmeler yayınlandıktan sonra bile yazılım güvenlik açıklarını, özellikle de ciddi olanları araştırmaya ve bunlardan yararlanmaya devam edeceğini gösteriyor. Bilgisayar korsanları, BT ekiplerinin genellikle eksik olan zaman kaynakları hakkında spekülasyon yapıyor ve bu da sürekli düzeltme ekine ayak uydurmayı zorlaştırıyor.
Hackerlar da haftasonuna giriyor gibi görünüyor.
Özellikle saldırı modelleri nasıl görünüyor? Botlar saldırılarını gerçekleştirmek için bir iş gününün akışına uyum sağlarken, artık çalışma haftası hem saldırganlar hem de potansiyel kurbanlar için aynı. Bu, çoğu saldırganın otomatik saldırılar yürütürken bile hafta sonunu izinli geçirmesinin tuhaflığını gösteriyor. Bununla birlikte, bunun nedeni, muhtemelen artan rekreasyon ihtiyacından çok, çeşitli etkinlikler sırasında kalabalığın içinde saklanmanın, hafta sonu az kullanılan sistemleri hedef alarak alarm vermekten daha kolay olmasıdır.
SQL'den komut enjeksiyonu ve komut enjeksiyon saldırıları
Saldırılar, keşif/fuzzing ve uygulama güvenlik açığı saldırılarının yaygın saldırı türlerine nasıl giriyor (en popüleri WordPress'ti)? Tipik olarak, SQL enjeksiyon saldırıları, diğer tüm saldırı türleri tarafından takip edilen komut enjeksiyon saldırılarına göre baskındır. Bununla birlikte, soruşturma döneminde, Windows'a karşı çok sayıda komut enjekte etme girişimi de dahil olmak üzere, komut enjeksiyonu açık ara önde gitti. Bu saldırılar, Haziran ayında iki haftadan fazla bir süre zirve yaptı ve ardından normal seviyelere döndü. Kalan saldırılar aşağı yukarı beklenen düzeydeydi ve çeşitli kategorilerde belirli bir saldırı modeli tanımlanmadı. Lets Encrypt entegrasyonu ile HTTPS'yi etkinleştirmek ve yapılandırmanın en son protokolleri kullanacak şekilde güncellenmesini sağlamak da önemlidir. Şu anda en güvenli protokoller TLS1.3 ve TLS1.2'dir. Düz HTTP kullanan uygulamalar hala devam ediyor, ancak ilginç bir şekilde, düz HTTP trafiği eski ve güvensiz SSL/TLS protokollerinden daha yüksek bir hacme sahip.
WAF veya WAAP: kesinlikle doğru yapılandırılmış
Bilinen yazılım güvenlik açıklarından yararlanmayı amaçlayan saldırılar, çok sayıda olması nedeniyle gerekli çözümleri ararken genellikle BT ekipleri için zorluk teşkil eder. Bu çözümlerin, Web Uygulaması ve API Koruma Hizmetleri (WAAP) olarak da bilinen WAF/WAF-as-a-Service ürünlerinde birleştirildiğini bilmek güzel. Gartner, WAAP hizmetlerini "bulut WAF hizmetlerinin evrimi" olarak tanımlar. Keşke WAAP hizmetleri bulut tabanlı, WAF'ın hizmet olarak sunumu, bot azaltma, DDoS koruması ve tek bir abonelikle -Combine modeliyle API güvenliği olsaydı.
İşletmeler kesinlikle bot azaltma, DDoS koruması, API güvenliği ve kimlik bilgisi doldurma koruması içeren bir Hizmet Olarak WAF veya WAAP çözümünü düşünmeli ve ardından düzgün şekilde yapılandırıldığından emin olmalıdır.
Daha fazlası Barracuda.com'da
Barracuda Ağları Hakkında Barracuda, dünyayı daha güvenli bir yer haline getirmek için çabalıyor ve her işletmenin satın alması, devreye alması ve kullanması kolay, bulut özellikli, kurumsal çapta güvenlik çözümlerine erişimi olması gerektiğine inanıyor. Barracuda, müşteri yolculuğu boyunca büyüyen ve uyum sağlayan yenilikçi çözümlerle e-postayı, ağları, verileri ve uygulamaları korur. Dünya çapında 150.000'den fazla şirket, işlerini büyütmeye odaklanabilmek için Barracuda'ya güveniyor. Daha fazla bilgi için www.barracuda.com adresini ziyaret edin.