Tehdit aktörleri, 2021’de önceki yıllara kıyasla ve çoğunlukla Microsoft, Google ve Apple yazılımlarında sıfır gün güvenlik açıklarından daha fazla yararlandı.
Devlet destekli gelişmiş kalıcı tehdit aktörleri, bugüne kadar her zaman olduğu gibi bu açıklardan yararlanmanın en üretken kullanıcıları olmaya devam etti. Ancak, sadece onlar değildi: finansal olarak motive olan gruplar – özellikle fidye yazılımı operatörleri – sıfır gün kullanımlarını keskin bir şekilde artırdı ve bu güvenlik açıklarından yararlanan her üç saldırgandan birini oluşturuyordu.
Bu hafta biri Mandiant’tan ve diğeri Google’ın Project Zero güvenlik ekibinden gelen iki ayrı tavsiye, geçen yıl, bir yama kullanıma sunulmadan önce tehdit aktörlerinin yararlandığı yazılım kusurlarında büyük bir sıçrama tespit etti. Mandiant, 2021’de bu tür toplam 80 kusur sayarken, Google, yama yapılmadan önce vahşi doğada istismar edilen 58 sıfır gün tespit etti.
Mandiant’ın sayısına göre, 2021’deki 80 sıfır gün istismarı, 2020’de giriş yaptığı 30’a göre %167’lik bir artışı temsil ediyordu ve 2019’da bir önceki en yüksek 32 sayısını iki katından fazla artırdı. Google’ın saydığı 58 sıfır gün istismarı, daha fazlasını temsil ediyordu. şirketin 2020’de gözlemlediği 25’in iki katından fazla. Aynı zamanda, 2015’te Google’ın şimdiye kadarki en yüksek toplam 28 sıfır gününün iki katından fazlaydı.
Mandiant, Microsoft, Google ve Apple’daki güvenlik açıklarının, tehdit aktörlerinin geçen yıl yararlandığı sıfır günlerin %75’ini oluşturduğunu söyledi – bu sayı muhtemelen bu üç tedarikçinin teknolojilerinin geniş kullanımı ve popülaritesine bağlı. A sıfır gün kusurları elektronik tablosu Google’ın 2014’ten beri sürdürdüğü, şirketin geçen yıl gözlemlediği 58 sıfır gün istismarından 16’sının kendi teknolojilerinde olduğunu gösteriyor; 21 ilgili Microsoft ürünü; ve 13’ü Apple ürünlerindeydi. Mandiant, kalan güvenlik açıklarının Qualcomm, Trend Micro, Sonic Wall, Accellion (şimdi Kiteworks) ve Pulse Secure dahil olmak üzere toplam dokuz diğer satıcının ürünlerini içerdiğini söyledi.
Mandiant’ın baş analisti James Sadowski, verilerin kuruluşların tehdit aktörlerinin daha az kullanılan teknolojilerde sıfır gün arama ve bunlardan yararlanma potansiyelini nasıl görmezden gelemeyeceğini vurguladığını söylüyor.
“Popüler satıcılar sıfırıncı gün kullanımı için popüler hedefler olmaya devam ederken, ana satıcıların dışında sıfırıncı gün kullanımı tarafından hedeflenen hem teknolojilerin hem de satıcıların kademeli olarak genişlemesini gördük” diyor.
Sadowski, “Accellion FTA’nın istismarında gözlemlediğimiz gibi, tehdit aktörleri bu sistemlerdeki güvenlik açıklarından yararlanabilir ve önemli hasarlara neden olabilir,” diyor Sadowski, çok sayıda büyük şirkette ihlallere yol açan neredeyse eskimiş bir Accellion ürünündeki sıfır gün kusuruna atıfta bulunuyor.
Birçok Neden
Mandiant birden fazla olası neden belirledi
Geçen yıl tehdit aktörlerinin sıfır gün açıklarının kullanımındaki patlama için. Şirket, bulut, mobil ve IoT teknolojilerinin kurumsal olarak benimsenmesinin artmasının, kuruluşların kullandığı yazılım hacmini artırdığını ve dolayısıyla daha fazla hatanın keşfedilmesiyle sonuçlandığını algıladı. Sıfırıncı gün güvenlik açıklarında ticaret yapan sözde istismar komisyoncularının sayısındaki artış, sıfırıncı gün istismarları tehdit gruplarının araştırma ve geliştirmeye yaptığı yatırımları artırdığı için de bir faktör oldu. Bu arada Google, dalgalanmayı gelişmiş algılamaya bağladı ve sıfır gün hatalarının ifşa edilmesi – Mandiant’ın da büyük olasılıkla oyunda olduğunu söylediği bir faktör.
Güvenlik sağlayıcısının analizi, devlet destekli grupların – özellikle Çin’den gelenlerin – sıfırıncı gün istismar kullanımına hakim olmaya devam ettiğini gösterdi. Ancak, saldırılarında sıfır günden yararlanan fidye yazılımlarının ve finansal olarak motive olan diğer tehdit gruplarının sayısında gözle görülür bir artış oldu.
Sadowski, bu tehdit aktörlerinin büyük olasılıkla yeraltı istismar brokerleri ve suç hizmeti sağlayıcıları aracılığıyla sıfırıncı gün istismarları elde ettiğini söylüyor. Veya Conti fidye yazılımı grubunda olduğu gibi, güvenlik açıklarını araştırmak ve sıfırıncı gün açıklarını geliştirmek için gerekli yetenekleri kurum içinde işe alıyor olabilirler – sızdırılan Conti sohbet dosyaları, tehdit aktörlerinin yakın zamanda açıklanan güvenlik açıklarını tartıştığını ve üye atamak için üyeler atadığını gösteriyordu. Potansiyel olarak savunmasız sistemleri tanımlamak için bir tarayıcı.
Sadowski, “Fidye yazılımı grupları operasyonlarından giderek daha büyük meblağlar topladıkça, operasyonlarında daha sık sıfırıncı gün açıklarını kullandıklarını gözlemledik” diyor. Ancak genel olarak, bir tehdit aktörünün sıfırıncı gün açığını nereden edindiğini tespit etmenin son derece zor olduğunu söylüyor.
Viakoo CEO’su Bud Broomhead, sıfırıncı gün açıklarının artan kullanımının, tehdit aktörlerinin saldırı vektörlerini geleneksel tehdit değerlendirme ve tespit çözümlerinin ortaya çıkaracağı güvenlik açıklarından uzaklaştırdığını gösterdiğini söylüyor. “Bu yüzden sadece sıfır gün tehditleri değil, aynı zamanda IoT güvenlik açıklarından yararlanmak ve açık kaynaklı yazılımlardan yararlanmak da hızla büyüyen kurumsal tehditler” diyor. Kuruluşlar için zorluk, başarılı bir sıfırıncı gün ihlalinden kaynaklanan hasarın nasıl sınırlanacağını ve yeni saldırı vektörlerini hedef alan açıklardan nasıl korunacağını bulmaktır.
Netenrich’in başlıca tehdit avcısı John Bambinek, sıfır günlerin artan kullanımının, kuruluşların hızlı, bant dışı yama yeteneklerine sahip olma ihtiyacını vurguladığını söylüyor.
“Kuruluşların bunları üretime geçirmek için esnek ve çevik kalması gerekiyor” diyor. “Test ve değişiklik yönetimini kolaylaştırmak da dahil olmak üzere, yama uygulamasının önündeki mümkün olduğunca çok engeli kaldırın.”