Anssi’nin sunumu sırasında, Fransa’da yaklaşık yüz kuruluşun, Ivanti şirketinin iki kritik yazılımındaki (Ivanti Connect Secure ve Policy Secure Gateways) kusurlardan yararlanılmasına dayalı bir bilgisayar saldırısının hedefi olduğu belirtildi. Tehdide en son genel bakış ajansın.
Bilgisayar Saldırılarını İzleme, Uyarı ve Müdahale Merkezi (CERT-FR), onları saldırganlar için çok ilginç hedefler haline getiren gerçek İsviçre Ordusu bıçakları olan bu iki güvenlik geçidinin güncellenmesi gerektiği konusunda defalarca uyardı.
Bu cildin ötesinde Anssi, bu iki kusurun nasıl istismar edildiğine dair ilginç ayrıntılar verdi. Devlet siber itfaiye teşkilatının operasyon müdürü Mathieu Feuillet, şaşırtıcı olmayan bir şekilde, kusurların keşfedilmesini takip eden saatlerde büyük bir istismar kampanyasının yaşandığını belirtti. Zaten bildiğimiz gibi, bu tür bir güvenlik açığının keşfedilmesi saldırganlar tarafından çok hızlı bir şekilde istismar ediliyor.
Neredeyse hiç yanal hareket yok
Ivanti fayları örneğinde büyük ölçüde fırsatçı görünen bir manevra. Çoğu durumda ve birkaç istisna dışında, uzlaşmaya yanal bir hareket, yani diğer erişimlere, yazılımlara veya sunuculara yönelik saldırının devamı eşlik etmedi.
Muhtemelen saldırganların hedeflerine ilk ayak basmasıydı.
Mathieu Feuillet, bu konuda “bizi ilk görenler, bir sorun yaşadıklarını tespit edebilen en olgun sektörlerden kuruluşlardı” dedi. Anssi ayrıca büyük kusurların tespit edilmesinin ardından savunmasız sunucuları tespit etmek için taramalar gerçekleştirerek ve dolayısıyla sorunu ilgili kuruluşlara bildirerek bu konuda proaktif olarak hareket ediyor.
Güncellemeler çok uzun
Ancak ajansın kamuya açık ve özel uyarılarına rağmen Mathieu Feuillet, “uzun güncelleme süreleri yaşamaya devam ediyoruz” diye yakınıyordu. Proxylogon örneğini vermek gerekirse, Exchange’deki bu güvenlik açıkları Mart 2021’de keşfedildi. 24 Mart’ta Anssi, 2.213 savunmasız Fransız IP adresi saydı. Yaklaşık bir ay sonra, 20 Nisan’da hâlâ 1.267 savunmasız adres vardı. Bu rakam daha sonra daha yavaş bir düşüş göstererek 4 Mayıs’ta 1.092, 2 Haziran’da ise 888 hassas adrese düştü.
“Anssi, Vincent Strubel başkanlığındaki teşkilatın tehdide ilişkin genel bakışında, birçok saldırganın bilgi sistemlerinin kurbanları tarafından çok az kontrol edilmesinden yararlandığını gözlemliyor. Karmaşık olmasına rağmen hizmetleri güncel tutmak, güvenlik yamalarının hızlı bir şekilde uygulanması için çok önemli.”
Anssi raporlarına göre, bir güvenlik olayına müdahale sonrasında 2023 yılında en çok yararlanılan güvenlik açığı, VMWare’i hedef alan CVE-2021-21974 kusuruydu; bu güvenlik açığı, Şubat 2021’den kalma bir güvenlik açığıydı. Ayrıca kusurların bu ilk 5’inde bir güvenlik açığı da buluyoruz. Cisco (CVE-2023-20198), Citrix (CVE-2023-3519), Atlassian (CVE-22023-22518) ve Progress Software (CVE-2023-34362)