BASIN BÜLTENİ
ORLANDO, FL — 5 Aralık 2024 — Fortress Information Security tarafından bugün yayınlanan yeni bir araştırma raporuna göre, şu anda ABD kamu hizmetlerine güç veren yazılımı oluşturan kod, aralarında “yüksek derecede istismar edilebilir” yüzlerce güvenlik açığının da bulunduğu güvenlik açıklarıyla dolu. Araştırmacılar binlerce ürünü inceledi ve rahatsız edici risk kalıpları buldu.
Rapor, Malzeme Listesinin Ötesinde: Kritik Altyapı Yazılımlarında Gizlenen Sessiz Tehdit, ayrıca yazılım bileşenlerinin yüzde 25’inin ve yazılım ürünlerinin yüzde 90’ının Çin’deki geliştiricilerin kodunu içerdiğini gösteriyor.
Güvenliği ihlal edilmiş yazılım kodu, tehdit aktörlerine elektrik şebekelerine, petrol ve gaz boru hatlarına ve iletişim ağlarına yönelik bir “arka kapı” sağlayabilir. Geçtiğimiz yıl yapılan benzer bir araştırmada Fortress, Çin’de geliştirilen kodun, başka yerde geliştirilen koda göre güvenlik açığı içerme olasılığının 1,4 kat daha fazla olduğunu keşfetti.
Fortress CEO’su Alex Santos, “Çin, ABD’nin ekonomik ve fiziksel güvenliğine yönelik varoluşsal bir tehdittir” dedi. “Çin kökenli koda sahip yazılım ürünleri belirlenmeli ve ülkemizin kritik altyapısından ayıklanmalıdır. ABD elektrik şebekesini yöneten en yaygın kullanılan ürünler için Yazılım Malzeme Listesini (SBOM) geliştirdik ve ardından inceledik. Bir sonraki adım, bu sistemik riskleri ortadan kaldırmak için harekete geçmek ve biz de bunu yapmak için kamu hizmet kuruluşlarıyla birlikte çalışmayı sabırsızlıkla bekliyoruz.”
kullanarak Kuzey Amerika Enerji Yazılım Güvencesi Veritabanı (NAESAD)) 2.000’den fazla yazılım ürünü için Yazılım Malzeme Listelerini (SBOM’lar) inceleyen araştırmacılar şunları buldu:
Saldırganların çok az çaba harcayarak yararlanabileceği 855 yüksek derecede istismar edilebilir güvenlik açığı dahil olmak üzere 9.000’den fazla benzersiz güvenlik açığı.
Kritik güvenlik açıklarının %80’inden fazlasını oluşturan yirmi bileşen.
Ürünler genelinde 3.841 Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) örneği. KEV’ler, tehdit aktörleri tarafından aktif olarak istismar edilen bir güvenlik açıkları alt kümesidir.
En Yaygın Bağımlılıklar şunlardı: 1) Linux çekirdeği, 2) zlib (bir sıkıştırma kitaplığı) ve 3) OpenSSL (açık kaynaklı bir şifreleme kitaplığı).
Fortress baş araştırmacısı Bryan Cowan, “Bir kez daha, yüzlerce üründe kullanılan az sayıda ortak bileşenin, kritik güvenlik açıklarının büyük bir kısmından sorumlu olduğunu bulduk” dedi. “Bunlar tespit edilebilecek ve yazılım tarafından tespit edilebilecek güvenlik açıklarıdır” Bu 20 bileşenin ele alınması enerji santrallerimizi, petrol ve gaz rafinerilerimizi ve kimya şirketlerimizi çok daha güvenli hale getirecektir.”
Kısa Metodoloji
Fortress, ikili analiz kullanarak her ürün sürümü için bir Yazılım Malzeme Listesi (SBOM) oluşturdu. Araştırmacılar, NAESAD’da saklanan SBOM’ları inceledi. Fortress, 243 satıcıdaki 2.233 ürünle ilişkili 8.758 benzersiz bileşende belirlenen 9.535’ten fazla benzersiz güvenlik açığını analiz etti. Bu, ağ yönetimi için kullanılan bilgi teknolojisi (BT) ürünlerini ve iş fonksiyonları için kullanılan operasyonel teknoloji (OT) ürünlerini içeriyordu. Ekip, istismar edilebilirlik için bir vekil olarak Exploit Tahmin Puanlama Sistemini (EPSS) kullandı.
Kale hakkında. Kritik tedarik zincirlerini ve siber varlıkları gelişen tehditlere karşı güvence altına almak.
