Siber Güvenlik Açısından Son Gelişmeler
Son dönemde, Palo Alto Networks giriş portallarına yönelik şüpheli taramaların artışı, siber güvenlik alanında önemli bir uyarı niteliği taşımaktadır. Araştırmacılar, bu durumun belirgin keşif çabaları içerdiğini ve farklı IP adreslerinden gelen tehditlerin arttığını bildirmektedir.
GreyNoise, Palo Alto Networks’ün GlobalProtect ve PAN-OS profillerine odaklanan IP adreslerinde %500 oranında bir artış olduğunu rapor etmektedir. Bu etkinlik, 3 Ekim tarihinde 1.285’in üzerinde benzersiz IP adresinin bu tür bir aktivitede bulunduğunu ortaya koyarken, genellikle günlük taramaların 200 adresi geçmediği vurgulanmaktadır.
Coğrafi Dağılım ve IP Adresleri
Gözlemlenen IP adreslerinin çoğunluğu ABD merkezli iken, daha küçük grupların İngiltere, Hollanda, Kanada ve Rusya gibi ülkelerde bulunduğu görülmektedir. Araştırmacılar, ABD’ye yönelik bir trafik yığınının yanı sıra Pakistan’a odaklanan başka bir aktivite grubunun da bulunduğunu belirtiyor. Bu grupların, “belirgin TLS parmak izlerine” sahip olduğunu, ancak overlapa sahip olduğunu da ekliyorlar.
GreyNoise’un verilerine göre, %91 oranında IP adresi şüpheli olarak sınıflandırılırken, %7’si ise kötü niyetli olarak etiketlenmiştir. “Neredeyse tüm aktivite, GreyNoise’un emule ettiği Palo Alto profillerine yönlendirilmiştir. Bu durum, aktivitenin hedefli bir doğaya sahip olduğunu, muhtemelen kamuya açık kaynaklardan (örneğin, Shodan, Censys) veya saldırgan kaynaklı taramalardan kaynaklandığını göstermektedir” açıklamasında bulunuyor GreyNoise.
Saldırı Hazırlığı ve Riskler
GreyNoise daha önce, bu tür tarama aktivitelerinin genellikle sıfır-gün veya n-gün açıkları için yeni istismar hazırlıkları anlamına geldiği konusunda uyarmıştır. Firma, son zamanlarda Cisco ASA cihazlarını hedef alan artan ağ taramaları hakkında bir uyarı yayınlamış ve iki hafta sonra aynı Cisco ürününü hedef alan bir sıfır-gün güvenlik açığı ile ilgili haberlerin gündeme geldiğini belirtmiştir.
Ancak, GreyNoise’un gözlemlerine göre, bu tür taramalar ile Palo Alto Networks ürünlerini hedef alan taramalar arasında görülen ilişki daha zayıf. Bu durum, siber güvenlik tehditleri analizinde dikkat edilmesi gereken önemli bir nokta olarak değerlendirilmektedir.
Grafana Üzerindeki Artan Tehditler
Siber güvenlik araştırmacıları, Grafana platformunda eski bir yol geçişi açığının (CVE-2021-43798) istismar girişimlerinde de bir artış gözlemlemiştir. Bu güvenlik sorunu, Aralık 2021’de sıfır-gün saldırılarında kullanılmıştır. GreyNoise, 28 Eylül tarihindeki saldırılarda çoğu Bangladeş merkezli olmak üzere 110 benzersiz kötü niyetli IP’nin kullanıldığını rapor etmiştir.
Saldırıların hedefleri ise başlıca ABD, Slovakya ve Tayvan gibi ülkelerde yoğunlaşmaktadır. Bu saldırıların belirli bir köken bilgisine göre tutarlı bir hedef dağılımı sergilemesi, otomasyonun bir göstergesi olarak değerlendirilmekte.
Öneriler ve Önlemler
GreyNoise, sistem yöneticilerine CVE-2021-43798’e karşı Grafana örneklerini yamanmalarını ve tespit edilen 110 kötü niyetli IP adresini engellemelerini önermektedir. Ayrıca, yolu geçiş taleplerinin kanıtlarını gösterebilecek log kayıtlarının kontrol edilmesi gerektiğini de vurguluyor.
Siber güvenlik tehditleri her geçen gün artarken, özellikle bu tür bilgilere sahip olmak, yöneticilerin riskleri azaltmalarına yardımcı olacaktır. Saldırıların önceden tespit edilmesi ve doğru önlemlerin alınması, güvenlik açıklarının kapatılmasına ve sistemlerin güçlendirilmesine katkı sağlayacaktır.
Bu bağlamda, siber savunma stratejileri geliştirerek güncel tehditler karşısında hazırlıklı olmak, kurum ve kuruluşların uzun vadeli güvenlik hedeflerine ulaşmaları açısından kritik bir önem taşımaktadır.
