Yeni bir rapor, yeni bir CVE'nin kamuya açıklanmasından 15 dakika içinde savunmasız uç noktaları tarayan tehdit aktörlerini gösterdiğinden, sistem yöneticilerinin açıklanan güvenlik açıklarını yamalamak için daha az zamana sahiptir.
Palo Alto'nun 2022 Birim 42 Olay Yanıt Raporuna göre, bilgisayar korsanları, bir kurumsal ağa ilk erişim için kullanabilecekleri yeni güvenlik açığı duyuruları için yazılım satıcısı bülten panolarını sürekli olarak izliyor veya uzaktan kod yürütme yapmak.
Bununla birlikte, tehdit aktörlerinin güvenlik açıklarını taramaya başlama hızı, sistem yöneticilerini, hataları sömürülmeden önce yamalamak için yarışırken artı işaretlerine sokar.
"2022 Saldırı Yüzey Yönetimi Tehdit Raporu, saldırganların genellikle bir CVE duyurulduktan sonraki 15 dakika içinde güvenlik açıkları için taramaya başladığını buldu."
Tarama özellikle zorlu olmadığından, düşük vasıflı saldırganlar bile interneti savunmasız uç noktalar için tarayabilir ve bulgularını daha yetenekli bilgisayar korsanlarının onlardan nasıl yararlanacağını bildikleri karanlık web pazarlarında satabilirler.
Daha sonra, saatler içinde, ilk aktif sömürü girişimleri gözlenir, genellikle hiçbir zaman yamalama şansı olmayan sistemlere çarpar.
Ünite 42, örnek olarak CVE-2022-1388'i sunar, F5 BIG-IP ürünlerini etkileyen kritik kimlik doğrulanmamış uzaktan komut yürütme güvenlik açığı.
Kusur 4 Mayıs 2022'de açıklandı ve ünite 42'ye göre, CVE'nin duyurulmasından bu yana on saat geçtiğinde, 2.552 tarama ve sömürü girişimleri kaydettiler.
Bu, savunucular ve kötü niyetli aktörler arasındaki bir yarıştır ve her iki taraftaki gecikmeler için marjlar, geçen her yıl azalıyor.
Palo Alto tarafından toplanan verilere dayanarak, H1 2022'deki ağ erişimi için en çok sömürülen güvenlik açıkları, kaydedilen toplam sömürü olaylarının% 55'ini oluşturan “Proxyshell” istismar zinciridir. Proxyshell, CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 olarak izlenen üç güvenlik açığının bir araya getirilmesiyle sömürülen bir saldırıdır.
Log4Shell,%14 ile ikinci sırada, çeşitli Sonicwall CVES%7, proxylogon%5, Zoho Manageengine adlifservice Plus'taki RCE vakaların%3'ünde sömürüldü.
Bu istatistiklerden anlaşıldığı için, aslanın sömürü hacmindeki payı, en son olanlar değil, yarı kişilik kusurlar tarafından yakalanır.
Bu, saldırı yüzeyi büyüklüğü, sömürü karmaşıklığı ve pratik etki dahil olmak üzere çeşitli nedenlerle gerçekleşir.
Yöneticileri güvenlik güncellemelerini hızlı bir şekilde uygulamak için daha değerli ve daha iyi korunan sistemler, kusurların açıklanmasından hemen sonra ortaya çıkan sıfır günler veya saldırılarla hedeflenir.
Ünite 42'ye göre, ilk ağ ihlalleri için yazılım güvenlik açıklarından yararlanmanın, kullanılan yöntemin kabaca üçte birini oluşturduğunu da belirtmek gerekir.
Vakaların% 37'sinde kimlik avı, ilk erişime ulaşmak için tercih edilen araçlardı. Kahraman kimlik bilgilerini kullanma veya kullanmak, bilgisayar korsanlarının davaların% 15'inde ağlara nasıl nüfuz ettiğidir.
Son olarak, ayrıcalıklı çalışanlara karşı sosyal mühendislik hileleri kullanmak veya ağ erişimine yardımcı olmak için bir haydut içeriden rüşvet vermek, olayların% 10'una karşılık gelir.
Sistem yöneticileri, ağ yöneticileri ve güvenlik uzmanları, en son güvenlik tehditlerine ve işletim sistemi sorunlarına ayak uydurmaya çalışırken zaten önemli stres altında olduğunda, tehdit aktörlerinin cihazlarını hedefleme hızı sadece ek baskı ekler.
Bu nedenle, cihazları mümkünse internetten uzak tutmak ve yalnızca VPN'ler veya diğer güvenlik ağ geçitleri aracılığıyla ortaya çıkarmak son derece önemlidir. Sunuculara erişimi kısıtlayarak, yöneticiler sadece istismar riskini azaltmakla kalmaz, aynı zamanda güvenlik açıkları dahili olarak hedeflenmeden önce güvenlik güncellemelerini uygulamak için ek zaman sağlar.
Ne yazık ki, bazı hizmetler kamuya açıklanmalı, yöneticilerin erişim listeleri aracılığıyla güvenliği mümkün olduğunca sıkılaştırmasını, yalnızca gerekli bağlantı noktalarını ve hizmetlerini açığa çıkarmasını ve güncellemeleri mümkün olduğunca çabuk uygulamasını gerektirmelidir.
Kritik bir güncellemenin hızlı bir şekilde uygulanması kesinti süresine yol açabilirken, bu tam bir siber saldırının sonuçlarından çok daha iyidir.
Microsoft Haziran 2022 Patch Salı Düzeltmeleri 1 Sıfır Gün, 55 Kusur
Metasploit 6.2.0, kimlik bilgisi hırsızlığını, SMB destek özelliklerini, daha fazla
Android Haziran 2022 Güncellemeleri Kritik RCE güvenlik açığı için düzeltme getirin
Atlassian Confluence RCE Bug, Patch Now için yayınlanan istismar
Hackerlar, çevrimiçi mağazaları ihlal etmek için Prestashop Zero Day'den sömürdü
Kaynak: Bleeping Computer