Eski Güvenlik Zafiyetleri Siber Saldırı İhtimallerini Artırıyor

Başlarken…
Zafiyet (Güvenlik Açığı): Yazılımsal sistem/sistem parçalarının genellikle yeterli olmayan fiziki güvenlik, güçsüz ağlar, vb. eksiklikler nedeniyle olası zararlara açık olması. 

Siber güvenlik dünyasındaki en önemli sorunlardan biri de zafiyetler. Bilgisayar, akıllı telefon gibi sık kullanılan cihazlardan modemlere kadar sayısız teknolojik üründe görülebilen zafiyetler, temelde mevcut yazılımlardaki güvenlik sorunlarını kapsıyor. Güvenlik sorunlarını gidermeye yönelik ‘yazılım güncellemeleri’ yüklenmediği taktirde siber saldırılara karşı bir tür ‘açık kapı’ bırakılıyor ve çeşitli sorunlar gündeme geliyor.

Bu kapsamda her yıl milyarlarca dolarlık kayba neden olan güvenlik zafiyetleri bazlı sorunlar, yazılım geliştiriciler ve daha sık olarak da kullanıcılarla ilgili. Örneğin çok eski bir işletim sistemi versiyonu olan Windows 7’nin Türkiye’de, güvenlikle ilgili sayısız problemine karşın yoğun şekilde kullanımda olduğunu görebilmek mümkün. Benzer şekilde akıllı telefonlara gelen güncellemeler genellikle ihmal nedeniyle yapılmayabiliyor, bu da mobil güveliğe yönelik her yıl artan tehditlere kaynaklık eden faktörler arasında konumlanıyor.

Genel itibarıyla yazılım tabanlı her şeyin güncel tutulması gerekiyor. Aksi taktirde söz konusu olabilen güvenlik açıkları, gerek bireysel kullanıcılara gerekse işletmelere farklı boyutlarda zarar verebiliyor.

Siber korsanlar zafiyetleri giderek daha fazla kullanıyor

Siber korsanların giderek daha fazla sayıda yamanmamış sistemler ve eski yazılımlar ile bağlantılı zafiyetleri (açıkları) kullanmaya başlaması, şirketlerin bilgisayar ağlarını ve organizasyonları eski güvenlik zafiyetlerinden kaynaklanabilecek fidye yazılımın yanı sıra diğer saldırılara karşı savunmasız bırakıyor.

Yapılan güvenlik analizleri, şirketlerin bilgisayar ağlarında başgösteren güvenlik zafiyetlerinin %61’nin, güvenlik yamaları mevcut olmasına rağmen 2016 ve öncesine ait olduğunu ortaya çıkardı. Bilgisayar ağlarının güvenlik bariyerlerini aşmayı başaran bazı zafiyetler ise on yıldan daha eski.

Halen yamanmayan ve en sık rastlanan güvenlik zafiyetlerinden bir tanesi, 2000 senesinden bu yana mevcut olan ve 2017’de yamanmasına rağmen halen Office 365 olmak üzere Microsoft Office‘i etkileyen eski bir bellek sorunu CVE-2017-11882. Güvenlik uzmanları, söz konusu zafiyetin Windows işletim sistemi üzerinden en çok kullanılan açıklardan biri olduğunu not düştü.

Söz konusu zafiyet, kullanıcılardan çok az müdahale gerektirirken, siber korsanlara oltalama eylemleri için fırsat sunuyor. Araştırmacılar, 2017’de detaylandırılmasının ardından zafiyetin Cobalt Group gibi siber suç örgütleri tarafından kullanılmaya devam edildiğini belirtiyor.

Araştırmacıların altını çizdiği diğer zafiyetler arasında, Oracle Java SE 7 bileşenlerinden Java Runtime Environment (JRE) bağlantılı CVE-2012-1723 yer alıyor. 2012’de tespit edilen açığın yanı sıra bir diğeri de aynı sene beliren CVE-2013-1493 olarak gösterildi.

Çözüm var, ancak uygulanmıyor…

Söz konusu zafiyetlere yönelik güvenlik yamaları yıllardır bulunmasına karşın şirketlerin büyük kısmı bu güncellemeleri pas geçerek kendilerini siber tehditlere karşı riskli duruma düşürüyor. Her ne kadar şirketlerin büyük kısmı fidye yazılım saldırılarından endişe duyuyor olsa da, yamanmayan zafiyetler siber korsanların trojan kötü amaçlı yazılımı kullanmalarını, bilgisayar ağlarına erişim sağlayarak kullanıcı adı ve şifreleri çalmalarına neden oluyor.

Öte yandan eski güvenlik zafiyetlerini devlet sponsorluğundaki siber suç örgütlerinin de kullandığı, çünkü bilgisayar ağlarına daha kolay erişim sağladıkları kaydediliyor. Özellikle büyük bilişim güvenliği ekiplerine sahip şirketlerin bilgilerini korumasının çok kolay olmadığını, ancak bunu yapabilmek için bilgisayar ağlarında nelerin korunması gerektiğini bilerek gerekli adımları atmaları gerektiği ifade edildi. Bu aşamada güvenlik katmanları güçlendirilebilir, zafiyetler yamanabilir veya her ikisi birden uygulanabilir.

Güvenlik uzmanları, bilişim teknolojileri varlıklarının farkında olan, tehditleri tespit edebilen ve önleyebilmek için gerekli adımları atabilen şirketlerin bugün yaşanan fidye yazılım saldırılarına karşı koyabileceğini ifade etti.

Araştırmacılar, tehditleri tespit edebilmenin bir yetenek olduğunu, ancak siber tehditlere karşı kapsamlı planı bulunan şirketlerin tehditlerden birkaç gün veya hafta yerine birkaç saat içinde kurtulabildiğine dikkat çekti.