Trend 2023: Yakından izlenmesi gereken 10 güvenlik açığı

Güvenlik açıklarının sayısı 2022’de bir kez daha patladı. MITRE tarafından tutulan veri tabanına göre, sayıları 2021’e kıyasla %20’lik bir artışla 25.059’a yükseldi. Bunlar, siber saldırgan grupları tarafından geniş çapta istismar edildi ve ilk eğilimler 2023 yılı bu konuda herhangi bir değişikliğe işaret etmiyor. 2023’te dikkat etmeniz gereken 10 güvenlik açığını keşfedin.

ESXiArgs kampanyası

Şubat 2023’te dünya çapında kasıp kavuran bu fidye yazılımı kampanyası, VMWare’in sanallaştırma teknolojisi ESXi’ye saldırıyor. Genel etkisini değerlendirmek hala karmaşık, ancak internette açığa çıkan ve güncel olmayan birçok ESXi sunucusu etkilenmiş ve şifrelenmiştir.

Bu kampanya tarafından kullanılan güvenlik açığı (CVE-2021-21974 olarak listelenmiştir), ESXi’de standart olarak etkinleştirilen ve uzaktan kod yürütülmesine izin veren OpenSLP (Open Service Location Protocol) protokolünü etkiler. Etkilenen sunucular bu nedenle çoğunlukla internette açığa çıktı ve güncel değildi. Bu kusurdan etkilenen sürümler şunlardır: ESXi70U1c-17325551’den önceki ESXi sürümleri 7.x, ESXi670-202102401-SG’den önceki ESXi sürümleri 6.7.x ve ESXi650-202102101-SG’den önceki ESXi sürümleri 6.5.x.

Bu kampanyanın benzersizliği, OpenSLP’deki güvenlik açığının ancak iki yaşında olması ve istismarların 2021’in ortasından beri halka açık olmasıdır. Kampanyanın neden daha önce başlatılmadığını bugüne kadar kimse bilmiyor. Öte yandan saldırganlar, CISA’nın (Cybersecurity & Infrastructure Security Agency) kurbanlar için bir şifre çözme yardım komut dosyası yayınlamasından sadece birkaç gün sonra sunucuları şifreleme yöntemlerini uyarlayarak tepki gösterdi.

Silecek Aikido

Silecekler, rolü dosya sisteminden bir şeyler silmek olan ve genellikle sistemi kullanılmaz hale getirmek olan bir kötü amaçlı yazılım kategorisidir.

Ona göre aikido, ana ilkelerinden biri düşmanı yenmek için rakibin gücünü kullanmak olan bir savaş sanatıdır. İsimsiz silicinin, sistemde bulunan bir anti-virüs/EDR ajanını hayati bileşenleri sistemden kaldırmaya zorlayarak kullandığı fikir tam da budur. Pratikte Aïkido, sistemi koruması gereken aracının kritik dosyaları veya sürücüleri tehditlerle karıştırarak silmesi için sembolik bağlantılar/kavşaklar kullanır.

Birkaç antivirüs ve EDR bu kusurdan etkilenmiştir ve yayıncıların tümü bu kusuru düzeltmek için yamalar hazırlamıştır. Bunların mümkün olan en kısa sürede uygulanması açıkça tavsiye edilir.

AçıkSSL

OpenSSL, birçok kriptografik işlevi uygulayan platformlar arası bir kitaplıktır. Sertifikaları veya daha geniş anlamda kriptografik nesneleri işleyen çözümlerde çok düzenli olarak uygulanır.

CVE-2023-0286, OpenSSL sürüm 3.0.0, 1.1.1 ve 1.0.2’yi etkiler ve bir saldırganın OpenSSL çalıştıran sunucunun belleğini uzaktan okumasına olanak tanır (ayrıca hizmet reddini etkinleştirir). Teorik olarak, bir kriptografik değiş tokuşta (örneğin bir TLS iletişimi gibi) kullanılan anahtarları belirlemek için birkaç tekrarla birlikte kullanılabilir.

OpenSSL, bu güvenlik açığını gideren yamaları (3.0.8, 1.1.1t ve 1.0.2zg) zaten yayınlamıştır, ancak OpenSSL’nin bir sürümünü içeren tüm uygulamalar da kontrol edilmeli ve gerekirse yama yapılmalıdır.

Aktif Dizin Kurulumu

Active Directory (AD), çoğu modern IS için bilgi sisteminin (IS) kalbidir: Windows iş istasyonlarını ve sunucuları (hatta bazen Linux) gruplandırır ve birçok sistem için kimlik sağlayıcı görevi görür. Azure AD Connect gibi sistemler). Bu nedenle, saldırganlar için tercih edilen bir hedeftir ve bir AD yöneticisinin güvenliğinin aşılması, genellikle tüm sistemin tehlikeye girmesine neden olur.

AD’deki güvenlik açıkları çoktur, ancak en yenileri arasındadır: PrintNightmare (yazdırma biriktirici hizmetinin manipülasyonu), eski protokollerin varlığı (NTLMv1, SMBv1, LMHash, LLMNR) veya hizmet hesaplarının kötü yönetimi. Bu güvenlik açıklarının saptanmasına, önceliklendirilmesine ve düzeltilmesine yardımcı olacak birçok araç mevcuttur.

AD CS ile ilgili güvenlik açıklarına odaklanın

Active Directory Sertifika Hizmetleri, özellikle ücretsiz ve kullanımı kolay olduğu için popüler bir Microsoft PKI (Özel Anahtar Altyapısı) hizmetidir. AD ile aynı nedenlerle, bu hizmette güvenlik açıklarıyla karşılaşmak çok yaygındır. Bu kritikliğin iyi bir örneği, PetitPotam kusurunun kullanılmasıdır. Bu, hedeflenen sunucunun kimliğine bürünmek için (örneğin, bir etki alanı denetleyicisi) PKI sunucusunda bir NTLM geçiş saldırısı gerçekleştirmek için Şifreleme Dosya Sistemi Uzak protokolündeki bir güvenlik açığından yararlanmayı içerir. Microsoft, PetitPotam’ın kötüye kullanılmasını önlemek için farklı sağlamlaştırma yapılandırmaları önermiştir.

Outlook kalın istemci hatası

Microsoft, 14 Mart 2023’te Microsoft Outlook (posta istemcisi) sürümlerinin büyük bir bölümünü etkileyen bir kusur (CVE-2023-23397) hakkında iletişim kurdu. Puanı 9,8 olan bu kritik güvenlik açığı, bir saldırgan e-posta yoluyla kendi kontrolündeki bir SMB (dosya paylaşım protokolü) kaynağına işaret eden bir bağlantı gönderdiğinde kullanılır. Saldırgan daha sonra kullanıcının parolasının NTLMv2 karmasını alabilir ve kullanıcının kimliğine bürünmek için diğer kaynaklarda yeniden yürütebilir.

Şu an için kusurla ilgili herhangi bir düzeltme yapılmamış gibi görünüyor.

Güçlü Kimlik Doğrulama Yöntemlerini Atlamak

Giderek daha sık görülen kimlik hırsızlığı girişimleriyle karşı karşıya kalındığında, çok faktörlü kimlik doğrulamanın (MFA) kullanılması giderek daha güçlü bir öneri haline geliyor. Bu, SMS veya e-posta ile bir kod göndermeyi, akıllı kartlar veya güvenlik anahtarları gibi kriptografik ortamların kullanımını veya hatta telefondaki bir uygulama aracılığıyla elde edilen bir kodun kullanımını içerebilir.

Ancak EvilProxy gibi hizmetlerin ortaya çıkmasıyla MFA bile artık yeterli değil. Nasıl çalışır? Hedefe, onları “gerçek” sitenin kopyası olan bir siteye (Microsoft 365 kimlik doğrulama sayfası gibi) yönlendiren bir kimlik avı bağlantısı gönderilir. Kullanıcı daha sonra bu oturum açma ayrıntılarını (bir MFA belirteci dahil) girecek ve kötü amaçlı site, kullanıcının kimliğini gerçek sitede doğrulamak için yeniden oynatacaktır. Böylece kullanıcı tarafında işlem şeffaf olurken, saldırgan bu şekilde kurtarılan bağlantı çerezini bağlanmak için de kullanabilir.

CI/CD geliştirme ardışık düzenlerini yapılandırma

Bulut ortamlarında sanal makine devreye alma görevlerini otomatikleştirmek için CI/CD (Sürekli Entegrasyon / Sürekli Dağıtım) otomasyon boru hatlarını kullanmak giderek daha yaygın hale geliyor. Ancak güvenlikle ilgili tavsiyeler bu süreçlere hala nadiren entegre ediliyor ve bu da onları saldırılara karşı çok savunmasız hale getiriyor.

Bu ardışık düzenlerde düzgün bir şekilde korunmadan kimlik doğrulama öğelerinin açık bir şekilde bulunması alışılmadık bir durum değildir. Saldırganların kusurları veya kötü amaçlı kodları gömmek için dağıtım prosedürlerini değiştirmesine olanak tanıyan ardışık düzen zehirlenmesi saldırıları da mevcuttur. CI/CD’nin yeniden canlanması göz önüne alındığında, bu tür saldırıların gelecekte artması bekleniyor.

Endüstriyel ekipmana saldırılar

Endüstri 4.0’ın gelişiyle birlikte endüstriyel makineler, kurumsal ağlar içinde ve hatta bazen İnternet üzerinden giderek daha fazla birbirine bağlı hale geliyor. Bununla birlikte, özellikle söz konusu teknolojilerin çokluğu nedeniyle güvenlikleri genellikle sınırdadır.

Mayıs 2021’deki Colonial Pipeline saldırısının gösterdiği gibi, endüstriyel ekipmanlara yönelik siber saldırıların çok büyük etkileri olabilir. Bu nedenle, fabrikadaki ekipmanın güvenliğini yakından izlemek, onu etkileyen güvenlik açıklarını tespit etmek ve bunları mümkün olan en kısa sürede gidermek çok önemlidir.

Makine öğrenimi ve yapay zeka ile ilgili saldırılar

Yapay zeka araçları yarışı, yılın başında Microsoft ve Google gibi oyuncuların çeşitli iletişimleriyle gördüğümüz gibi, sürekli hızlanıyor. Bu yeniliklerin güvenliği ile ilgili olarak iki eksen dikkate alınmalıdır: Birincisi, bu tür araçlar saldırganlar tarafından saldırı yöntemlerini büyük ölçekte uyarlamak ve onları daha etkili kılmak için kullanılabilir. Son olarak, istatistiksel modellere dayalı bu araçlar, bozulabilen bir eğitim aşaması gerektirir. Bu nedenle, bir kişi bunlara erişmeyi başarırsa, aracın etkinliğini değiştirmek için bunları değiştirebilir. Özellikle günümüzde davranış tespiti için makine öğrenimini sıklıkla içeren EDR tipi çözümleri düşünüyoruz.