Trend Micro ZDI, bir hayli kullanıcıyı negatif etkileyebilecek muhtelif yeni sıfırıncı gün güvenlik sarihleri duyurmaya devam ediyor
Siber güvenlik alanında dünyanın önde gelen işletmelerinden Trend Micro, Zero Day Initiative programı kapsamında 2023 senesinde birbirinden değişik 1000 ’in üzerinde güvenlik sarihini ele alan ihtar yayınlandığını açıkladı. Bu güvenlik sarihlerinin bir atak vasıtasına dönüştürülmesi gidişatında hakikat dünyada tesirleri, tedbire maliyetinin 10 katından fazla zaman ve mali kayıp anlamına geleceği belirtiliyor.
Trend Micro COO ’su Kevin Simzer, “Güvenlik sarihi araştırmalarına ve satın alımlarına her sene yaptığımız milyonlarca proaktif yatırım, hem alıcılarımız hem de bir tam olarak sektör açısından milyarlarca dolar tasarruf sağlıyor. Bu ayrıca, dijital dünyanın güvenliğine tehdit oluşturan güvenlik sarihlerinin kapatılmasında büyük ehemmiyet taşıyan yamalar mevzusunda firmaların saydamlıktan yoksun olduğuna dair evham verici bir meyli belgeliyor” dedi.
Trend Micro, güvenlik sarihlerinin ve yamaların kamuya açıklanmasını ve dokümanlandırılmasını yavaşlatma ya da eksiltme uygulaması olan suskun yama uygulamasına son verilmesi çağrısında bulunuyor. Siber kabahatlerle çabada ehemmiyetli bir mani olan bu uygulamaya büyük üreticiler ve bulut sağlayıcıları arasında çok sık tesadüfülüyor.
Bulut hizmetlerinde transparanlığın veya versiyon numaralarının olmaması tehlike değerlendirmesini yasaklıyor ve daha geniş bir güvenlik topluluğunu genel ekosistem güvenliğini artırmaya müteveccih bedelli bilgilerden yoksun vazgeçiyor.
Trend Micro geçtiğimiz sene, beceriksiz ya da yanılgılı yamaların rakamının çoğaldığı ve üreticilerin yamalarla alakalı yetkili bilgileri sade bir dille sunma mevzusunda giderek daha gönülsüz davrandıkları mevzusunda ihtarda bulundu. O zamandan bu yana bu vaziyet daha da makûslaştı ve bazı firmalar yamalara gereken ehemmiyeti vermeyerek alıcılarını ve sektörlerini afaki ve artan tehlikelere maruz vazgeçti.
Bulut tabanlı hizmetleri kuvvetlendirmek ve kullanıcıları potansiyel tehlikelerden gözetmek için yamalara öncelik vermek, güvenlik sarihlerini ele almak ve analistler, siber güvenlik tedarikçileri ve bulut hizmet sağlayıcıları arasında iş birliğini teşvik etmek için acil eyleme geçilmesi gerekiyor.
Trend Micro, güvenlik sarihlerine müteveccih yamaların saydam bir biçimde yapılmasını teşvik ediyor ve Zero Day Initiative programı aracılığıyla sektör genelinde güvenlikle alakalı genel gidişatı iyileştirmeyi kastediyor. Saydam bilgilendirme mevzusundaki kararlılığını sürdüren Trend Micro ZDI, bugün alttakiler de dahil olmak üzere sıfırıncı gün güvenlik sarihleri hakkında muhtelif ihtarlar yayınladı:
ZDI-CAN-20784 Github CVSS 9.9
Bu güvenlik sarihi, uzaktan ulaşan siber saldırganların Microsoft GitHub ’ın etkilenen montajlarında yetkilerini artırmasına imkân tanıyor. Bu güvenlik sarihinden faydalanmak için kimlik doğrulama gerekiyor. Yanılgı, Dev-Containers yapılandırmasında bulunuyor. Uygulama, bir geliştirme konteyneri yapılandırmasında yetki işaretini lüzumlu kılmıyor. Bir saldırgan, yetkileri yükseltmek ve hipervizör bağlamında kod çalıştırmak için bu güvenlik açığından faydalanabiliyor.
ZDI-CAN-20771 Microsoft Azure CVSS 4.4
Bu güvenlik sarihi, uzaktan ulaşan siber saldırganların Microsoft Azure ’daki duyarlı bilgileri ifşa etmesine imkân tanıyor. Bir saldırganın bu güvenlik sarihinden faydalanabilmesi için öncelikle hedef civarda yüksek yetkilerle kod çalıştırma marifetini elde etmesi gerekiyor Yanılgı, sertifikaların işlenmesinde ortaya çıkıyor. Mesele, bir kaynağın yanlış hakimiyet alanına maruz kalmasından kaynaklanıyor. Saldırgan bu güvenlik sarihinden faydalanarak saklanan kimlik bilgilerini ifşa ederek daha fazla riske yol açabiliyor.
Trend Micro ZDI, bilgiler kamuya açıklanmadan evvel ele alınmak üzere etkilenen üreticilere bildirilebilen hukuki bir biçimde güvenlik sarihi araştırmaları satın alarak saldırganları yasaklamaya odaklanan güvenlik sarihi pazarına liderlik ediyor.
Kaynak: BYZHA Beyaz Haber Ajansı
