Google SLO Oluşturucu’nun güvenlik açığı bulunan bir sürümünden yararlanmak için uzaktan kod yürütmeyi (RCE) kolaylaştıran yeni bir vektör ortaya çıkarıldı. Saldırganın sisteme erişmesine ve ağ içindeki güvenilir bir kaynaktan geliyormuş gibi kötü amaçlı kod dağıtmasına olanak tanır.
Google SLO Oluşturucu, Web API performanslarını izlemek isteyen mühendisler tarafından kullanılan, yaygın olarak kullanılan bir Python kitaplığıdır. Araç binlerce Google hizmeti tarafından kullanılıyor, ancak Eylül 2021 yamasından önce, güvenli olmayan ve kötüye kullanılabilir işlevler barındırıyordu ve potansiyel olarak kullanıcı giriş verilerini açığa çıkarıyordu.
Vicarius’un kurucu ortağı ve CEO’su Michael Assraf, bu istismar yolunun daha önce bilinmediğini ve basit bilgi ifşasından daha kötü sonuçlar için eski sürümlerden yararlanmanın yeni bir yolunu yarattığını açıklıyor.
Bir yayınlayan Vicarius’a göre, bu kitaplığı kullanan 167.000’den fazla uygulamadan kaçının savunmasız sürümler çalıştırdığı bilinmiyor. bildiri saldırı yolunu detaylandırıyor. Kodu güncelleyen kullanıcılar bu saldırıya maruz kalmayacak, ancak yama uygulanmamış güvenlik açıklarının hala şirketlerin başarılı bir şekilde saldırıya uğramasının en yaygın yolu olduğunu söyledi.
Assraf, güvenlik araştırmacıları savunmasız yazılım örneklerinden yararlanmak için yeni vektörler keşfettikçe, potansiyel olarak sorunlu geçici çözümler sorununu da gündeme getiriyor. Geliştiriciler, sistematik bir güncelleme/yama dağıtmak yerine, bilinen açıklardan korunmak için genellikle geçici çözümler kullanır.
“Bu kategoriye giren geliştiriciler, yamayı henüz dağıtmamış olan herkesle birlikte bu yeni istismara karşı savunmasız kalacak” diyor.
Milyonlarca Yamasız Cihaz Bir Sorun Olarak Kalıyor
Dışarıdan erişilebilen güvenlik açıklarının gelecekte siber suçlular için favori saldırı vektörü olmaya devam etmesi bekleniyor. A bildiri Rezilion’dan bu hafta yayınlanan bir raporda, yazılımlarda ve İnternet bağlantılı cihazlarda on yıl kadar eski güvenlik açıklarının yamasız kaldığı tespit edildi.
Çalışma, 2010 ile 2020 yılları arasında keşfedilen güvenlik açıklarına açık olan 4,5 milyondan fazla İnternete açık cihaz belirledi. Rapor ayrıca bu güvenlik açıklarının çoğunda etkin tarama/sömürü girişimleri tespit etti.
Rezilion’daki güvenlik açığı araştırması direktörü Yotam Perkal, yama uygulanmamış güvenlik açıklarının bu kadar yaygın olmasının birden çok nedeni olduğunu söylüyor.
“Birincisi, daha az olgun güvenlik programlarına sahip birçok kuruluş, ortamlarında sahip oldukları güvenlik açıklarını bile göremiyor” diyor. “Uygun araçlar ve güvenlik açığı yönetimi süreçleri olmadan, temelde riske karşı kördürler ve bilmedikleri şeyleri düzeltemezler.”
İkincisi, gelişmiş güvenlik açığı yönetimi süreçleri olan kuruluşlar için bile, yama uygulaması bir zorluk teşkil eder – zaman ve önemli miktarda çaba gerektirir ve genellikle öngörülemeyen yama uyumluluğu sorunlarına yol açabilir.
“Her yıl keşfedilen yeni güvenlik açıklarının sayısındaki sürekli artışla birlikte, kuruluşlar sadece ayak uydurmak için mücadele ediyor” diye açıklıyor.
Yamasız Güvenlik Açıkları En Önemli Güvenlik Sorunu
Assraf, yama uygulanmamış güvenlik açıklarını, birçok nedenden ötürü, en önemli, yaygın, ancak düzeltilebilir güvenlik sorunlarından biri olarak adlandırıyor.
“Bu sorun, endüstri ve şirket boyutunu aşıyor, ancak büyük şirketler, mevcut sistem ve kullanıcı hacmi nedeniyle genellikle daha hassastır” diye ekliyor.
Ayrıca her gün ortaya çıkan yeni güvenlik açıkları olduğuna dikkat çekiyor, bu nedenle “sıfır güvenlik açığını” yönetmek biraz boş bir hayal.
Buna ek olarak, büyük ölçekli güncellemeler zaman zaman işleri bozar ve öngörülemeyen sonuçlar ve uyumluluk sorunları yaratır, bu da birçok kişinin “Bozulmadıysa, düzeltmeyin” tutumuna girmesine neden olur.
Assraf, “Sorun şu ki, kırıldı, sadece zırhınızdaki çatlağı siz ihlal edilene kadar görmüyorsunuz” diye uyarıyor. “Diğer yaygın sorunlar görünürlük, gölge BT ve sahiplik sorunlarına yol açan dağıtılmış ekiplerdir.”
Onun bakış açısına göre görünürlük, güvenlik açıklarını almanın ve kontrol altına almanın ilk adımıdır, çünkü bozuk olduğunu bilmediğiniz bir şeyi onaramazsınız.
“Ortamınızdaki tüm varlıkların ve cihazların doğru ve sürekli güncellenen bir varlık envanterine sahip olmak kritik bir ilk adımdır” diye açıklıyor.
Sırada, işletmelerin yetersiz kaldığı ve hacmin sadece gürültü olmaya başladığı yaygın bir yer olan bu sistemler ve varlıklar için mevcut güncellemelere nasıl öncelik verileceğini bilmektir.
Perkal, yama uygulanmamış güvenlik açıklarından kaynaklanan risklere karşı daha proaktif bir duruş sergilemenin kilit noktasının farkındalık olduğunu düşündüğünü söylüyor.
“Riskin farkında olduğunuzda, etkin bir şekilde harekete geçmenizi sağlayacak doğru süreçlere ve araçlara sahip olduğunuzdan emin olun” diyor. “Günün sonunda, vahşi doğada istismar edildiği bilinen bilinen bir güvenlik açığına mevcut bir yamayı uygulamak, uygun güvenlik hijyeninin kolay yönü olmalıdır.”
Palo Alto Networks’ün 42. Birimi’nden Temmuz ayında yayınlanan bir rapor, saldırganların hangi yazılım güvenlik açıklarını hedef alacaklarına bakarken favorileri oynamasını da önerdi.
İş Bağlamıyla Yama Sorununu Çözme
Assraf, bilinen güvenlik açıklarına önem dereceleri atayan CVSS gibi ana çerçevelerin kritikliğine göre önceliklendirmenin yaygın olduğunu söylüyor – birkaç güvenlik sağlayıcısı da kendi kara kutu puanlama sistemlerini atadı.
“Hesaplanması gereken ve bu adımın – ve satıcıların – genellikle yetersiz kaldığı yer, iş bağlamını hesaba katmadaki başarısızlıktır” diyor.
Bu nedenle, bağlam olmadan atanan bir üçüncü taraf derecelendirmesi değil, benzersiz dijital ortamınız üzerinde en büyük etkiye sahip olacak potansiyel tehditlere odaklanmak önemlidir.
Assraf, “Daha sonra, en olgun kuruluşlar, söz konusu bağlama dayalı olarak yama sürecini otomatikleştirecek, en kritik sistemleri güncellerken, kesinti süresini ve etkiyi en aza indirecek, stratejik dağıtım planlaması yoluyla” diyor.
Perkal, bir kuruluşta çalışan kodun çoğunun, açık kaynak veya ticari olsun, çeşitli üçüncü taraflardan geldiğine dikkat çekiyor.
“Bu, kuruluşların temel iş mantığına odaklanmasına ve daha hızlı kod yayınlamasına izin verirken, bu aynı zamanda yazılım açıkları şeklinde bir güvenlik riski de getiriyor” diyor. “Her şeyi yamalamak basitçe mümkün değil.”
Riskle etkili bir şekilde başa çıkabilmenin, en önemli güvenlik açıklarına akıllıca öncelik verebilen ve ayrıca bazı azaltma ve iyileştirme yönlerini otomatikleştirmeye yardımcı olabilen yüzey yönetim platformlarına saldırmanın bu riskin ele alınmasına yardımcı olabileceğini söylüyor.
“Araştırmadan çıkardığım en ilgili yön, bu eski, bilinen, sömürülebilir güvenlik açıklarının hala çok yaygın olması” diye ekliyor. “Özellikle endişe verici çünkü yaptığımız analizin aynı zamanda saldırganlar tarafından da yürütülüyor olması muhtemel ve bu devasa saldırı yüzeyini savunmasız bırakarak hayatlarını kolaylaştırıyoruz.”