Popüler programların şirketleri koruması gerekiyordu ancak bilgisayar korsanları için açık olduğu ortaya çıktı

• Dünya genelindeki siber saldırıların yüzde 33'ü yazılım hatalarından kaynaklanıyor. Yüzde 16'sı - Çalınan giriş bilgilerinden. "m-Trends 2025" raporuna göre, geçen yıldan bu yana önemini kaybeden dolandırıcılık vektörünün yüzde 13'ü kimlik avından kaynaklanıyor.
• En çok istismar edilen güvenlik açıkları Palo Alto Networks, Ivanti ve Fortinet sistemlerinde yer aldı. Bunlar başta Çin ve Rusya bağlantılı gruplar olmak üzere, başka gruplar tarafından da kullanıldı.
• Polonya'da hükümet Fortinet açığı konusunda uyarıda bulundu. Ancak tehlikeli programların kara listesinin oluşturulması gibi bir plan bulunmuyor.

Ağdaki tehditleri tespit etme gibi konularla ilgilenen Mandiant adlı şirketin son raporunda, her üç siber saldırıdan birinin yazılım hatalarıyla başladığı sonucuna varıldı. Suçlular çoğunlukla en büyük Amerikan tedarikçileri olan Palo Alto Networks, Ivanti ve Fortinet'in yazılımlarını hedef aldı.

Mandiant'ın tanımladığı güvenlik açıklarından üçü özellikle tehlikeliydi; bunlar "sıfırıncı gün" güvenlik açıklarıydı, yani yazılım satıcısının durumu fark edip güvenlik yamalarını yayınlamasından önce istismar edilmişlerdi. Üstelik bu saldırıları sadece adi suçlular gerçekleştirmemiş olması da durumu daha da tehlikeli hale getiriyor. Bunlardan bir kısmı Çin ve Rus siber istihbarat grupları tarafından organize edildi veya desteklendi.

Güvenlik sağlayıcılarının tehlikeleri

Geçtiğimiz yıl en sık istismar edilen güvenlik açığı PAN-OS GlobalProtect yazılımındaki hatalarla ilgiliydi. Bu , Palo Alto Networks'ün popüler bir güvenlik sistemidir. Bu sistem, dünya çapındaki şirketler tarafından çalışanların uzaktan bağlantılarını korumak amacıyla kullanılıyor.

Nisan 2024'te tespit edilen hata, suçluların cihazın kontrolünü ele geçirmesine ve yöneticinin bilgisi olmadan cihazda keyfi komutlar çalıştırmasına olanak tanıyordu. Mandiant verilerine göre, söz konusu güvenlik açığı keşfedilip düzeltilmeden önce, çeşitli suç grupları bu açığı istismar etmeyi başarmıştı. Hackerlar arasında fidye talep eden ve verileri yayınlamakla tehdit eden RANSOMHUB çetesiyle bağlantılı kişiler de vardı.

En sık istismar edilen dört güvenlik açığından ikisi Ivanti yazılımıyla ilgilidir: Connect Secure VPN ve Policy Secure. Her iki hizmet de çalışanların şirket ağına güvenli bir şekilde giriş yapabilmelerini sağlamak için kullanılır. Mandiant'ın açıkladığı güvenlik açıkları, sunucuda oturum açmanın engellenmesine ve komutların çalıştırılmasına olanak sağlıyordu.

Bu boşlukların suçluların işine yaraması da amaçlanıyor. Toplamda en az sekiz farklı grubun Ivanti yazılımındaki hataları aktif olarak istismar ettiği tespit edildi . Bunlardan beşinin casusluk faaliyetleriyle ilgili olduğu ve muhtemelen Çin ile bağlantılı olduğu belirtildi.

Polonyalı Bakan Fortinet Programındaki Kusur Konusunda Uyardı

FortiClient Endpoint Management Server'da da ciddi bir güvenlik açığı ortaya çıkarıldı. Bu, şirketlerin çalışan bilgisayarlarının korunmasını merkezi olarak yönetmek için kullandığı bir araçtır. Bu hata, suçluların kendi komutlarını sistemin veritabanına uygulayabilmelerine olanak sağlıyordu.

Uygulamada bu, verileri manipüle etme, güvenlik önlemlerini aşma ve hatta sunucunun kontrolünü ele geçirme yeteneği anlamına geliyordu. Suç örgütlerinden biri, virüslü sunuculara yasal bir uzaktan yönetim programı yükledi. Bu erişim daha sonra diğer suç örgütlerine satıldı. Mandiant ayrıca söz konusu açığın FIN8 grubu tarafından istismar edildiğini de kanıtladı. Bu sefer fidye almak için kuruluşlara girip verilerini çalmak istiyorlar.

Ekim ve Kasım 2024'te şüpheli FIN8 tehdit kümesi, CVE-2023-48788'i kullanarak hedeflenen bir kuruluşa erişim sağladı, SNAKEBITE fidye yazılımını dağıttı ve verileri çalmak için herkese açık RESTIC yedekleme aracını kullandı.

Polonya hükümetinin siber güvenlikten sorumlu tam yetkili temsilcisi (bu görev döneminde Başbakan Yardımcısı Krzysztof Gawkowski'dir) bu güvenlik açığıyla ilgili bir açıklama bile yayınladı . Mart 2024'te Fortinet ürünlerinin en son sürümlere güncellenmesini önerdi.

Bu güvenlik açığının Polonya'da yol açabileceği sorunların boyutu ne olabilir? Bu durum bilinmemektedir çünkü Dijital İşler Bakanlığı, kamu idarelerinde veya bağımlı kurumlarda kullanılan BT sistemlerini güvence altına alan tedarikçilerin ve ürünlerin kaydını tutmamaktadır.

- Kamu sektörü kuruluşlarının BT güvenlik çözümlerinin seçimi, edinimi ve uygulanması konusunda büyük ölçüde özerkliğe sahip oldukları yönündeki güvenceyi bakanlığın basın ofisi veriyor.

Ancak yetkililer, Mandiant raporunda adı geçen tedarikçilerin ürünlerinin kamu yönetiminde de kullanıldığını teyit ediyor.

Bakanlık önemli siber güvenlik yasa tasarılarını bekliyor

Ancak Dijital İşler Bakanlığı'nın güvencesi uyarınca, yazılımları saldırılara karşı savunmasız olan tedarikçileri dışlamaya yönelik hiçbir plan bulunmuyor . Gelecekte güvenlikleri, Ulusal Siber Güvenlik Sistemi Kanunu'nda yapılacak bir değişiklikle (Dijital İşler Bakanlığı, bunun yıl ortasına kadar hükümet tarafından kabul edilmesini umuyor) ve Siber Güvenlik Sertifikasyon Sistemi ile yönetilecek. İkincisi Bakanlar Kurulu tarafından kabul edildi.

- Koruma kararı veya yüksek riskli tedarikçi olarak tanınma prosedürüne ilişkin taslak hükümlerin, ileride, zafiyetlerin devletin temel güvenlik çıkarlarına tehdit oluşturması halinde uygulanabileceği, bunun öncesinde detaylı bir analiz yapılacağı - MC'nin yanıtlarında okuyoruz.

Şimdilik Bilgisayar Olaylarına Müdahale Ekipleri (CSIRT'ler), kapsadıkları kurumlara güvenlik açıklarıyla ilgili bilgileri gönderiyor. NASK, güvenlik açıklarını taramak için Artemis aracını kullanıyor.

Satıcılar yama yapıyor, kullanıcılar güncellemiyor

Peki yazılım satıcıları bu rapor hakkında ne düşünüyor? Mandiant'ın bahsettiği üç şirkete de sorular sorduk. Sadece Fortinet CIS sorularına yanıt vermedi.

Ivanti sözcüsü, şirketlere karşı çıkanların sadece adi suçlular olmadığını vurguluyor. - Devlet destekli saldırgan saldırıların, tüm sektör için yaygın ve iyi belgelenmiş bir sorun olduğunu kabul ediyor.

Şirketin tehdit istihbaratı konusunda ortaklıklara ve iş birliklerine yatırım yaptığını da sözlerine ekliyor. Ayrıca, tam olarak açıklanan düzeltmeleri de yayınlar.

Palo Alto Networks temsilcileri de düzeltmelerden bahsederek, Mandiant raporunda bahsi geçen belirli güvenlik açığına yönelik yamaların, sorunun duyurulmasından itibaren üç gün içinde yayınlandığını vurguladı.

- Tespit edilen ürün zafiyetlerine ilişkin bilgiler tarafımızca kamuoyuna duyurulmakta ve PSIRT ekibimiz tarafından güncellenmektedir - şirketin basın ofisi tarafından not düşülmektedir.

Duyduğumuza göre şirket, piyasaya sürülmeden önce yazılım testleri de yapıyor.

Palo Alto Networks temsilcileri, "Olay anında bile daha önce test edilmiş bir senaryoyu hızlı bir şekilde analiz edebiliyor, bir düzeltme geliştirebiliyor ve etkilenen ürünlere uygulayabiliyoruz" vurgusunu yapıyor.

MC'nin hatırlattığı gibi, bu tarz mesajlardan sonra mümkün olan en kısa sürede yazılımı güncellemek önem taşıyor.

Siber Güvenlik Komiseri, tavsiyelerinde ve tebliğlerinde , herhangi bir siber güvenlik olayının meydana gelmesini sınırlamak için yapılması gereken en önemli eylemin, kullanılan çözümlerin sürekli güncellenmesi ve çok faktörlü kimlik doğrulamanın kullanılması olduğunu açıkça belirtmektedir.

Satıcılara göre yazılım açıkları doğaldır. Ancak Evercom'un sahibi Paweł Nogowicz konuya farklı bakıyor. Katowice'deki AET toplantısında yaptığı tartışmada vurguladığı gibi , bu bir piyasa patolojisidir. Müşterilerin fiilen yazılım testçisi haline geldiklerini belirtti. - Yazılımların sürekli olarak bazı açıkları ortadan kaldıran, ancak yenilerini üreten yamalar gerektirmesi söz konusu olamaz" dedi.