Pazardaki Toplu Kötü Amaçlı Yazılım Güncellemelerine Hazır Mıyız?

Yazılım saldırısı vektörlerine yakından bir bakış

Ulus devletlerin ve bilgisayar korsanı gruplarının pek çok sektördeki tedarik zinciri sağlayıcılarını hedef almaya devam etmesinin muhtemel olduğu açıkça görülüyor. Daha önce, teknik borçların kurumları nasıl zayıflatabildiğini yazmıştım. Bu, düşünülmesi gereken konulardan biri. Peki, kötü niyetli saldırganlar yeni saldırıları nasıl ve nereden başlatıyor? Başka hangi saldırı vektörleri kullanılabilir?

Sunburst gibi saldırılar, REvil grubu tarafından Kaseya’ya karşı düzenlenene benzer fidye yazılım saldırıları ve diğerleri ana akım medyanın dikkatini çekmeye devam ederken, 2021’de pek de üzerinde durulmayan bir saldırı dikkatimi çekti: Azure Linux makinelerindeki Open Management Infrastructure (OMI) yazılım aracısını etkileyen dört OMIGOD güvenlik açığı.

Açık kaynaklı projeler, büyük bir hızla büyümeye devam ediyor. Açık kaynaklı yazılımların güvenliğinde son 10 yılda dramatik iyileştirmeler yapıldığı doğru ve açık kaynaklı yazılımların güvenlik açıklarının çok daha hızlı bir şekilde yamandığına da şüphe yok. Bu, iyi bir haber. Ancak, açık kaynaklı tedarik zinciri saldırılarının endişe verici bir hızla arttığı da bir gerçek. Sonatype; 2021 Yazılım Tedarik Zincirinin Durumu raporunda, açık kaynaklı projelere karşı 12.000 saldırıda bulunulduğu tahmininde bulunuyor ve bu rakam bir önceki yıla göre %650 artış anlamına geliyor.

 

Rekabet açısından yeniliklere verilen öncelik ve sürekli olarak pazara ürün sunma sürelerini kısaltmaya odaklanılması, büyük ve küçük şirketleri açık kaynaklı projeleri benimsemeye itiyor. Hem devlet kurumları hem de özel kuruluşlar, gittikçe artan bir hızla yenilikler yapma ve yazılım projeleri gerçekleştirme baskısını hissediyor. Ancak, "hızlı hareket edip bir şeyleri bozma" anlayışının, özellikle de siber güvenlik açısından bir bedeli var.

Dolayısıyla, kamu sektöründeki ve özel sektördeki herkesin tüm açık kaynaklı projelerde güvenliğe öncelik vermesi bir zorunluluktur. Açık kaynaktan yararlanılmak istenmesi, kısmen yeniliklerden ve pazara ürün sürme süresinden kaynaklanıyor. Ancak, kurumların proje süresince pek çok aşamada durum tespiti yapması gerekiyor. Bu da hem projenin başlangıcında hem de geliştirme ve dağıtım süreçleri boyunca farklı kod inceleme katmanları anlamına geliyor. Bu, kolay bir iş değil ve suistimallerin kurum dışındaki kötü niyetli kişilerden veya bu projelerde çalışan dahili kaynaklardan gelebileceği düşünüldüğünde daha da karmaşıklaşıyor.

Kendimizi nasıl koruyabiliriz?

Kötü amaçlı yazılım güncellemeleriyle mücadelede temel silahlardan biri, teknik borç konusunun ele alınmasıdır. Bir teknik projenin mükemmel ve geleceğe hazır olmak için mal olması gereken “bedelle” (zaman, insan kaynakları, teknoloji yatırımı), kurumların o anda ödemeye hazır olduğu “bedel” arasında bir fark vardır. Yatırımın azalması ürünlerin çağının gerisinde kalmasına neden olabilir ancak bu borcun büyük kısmı, kesinlikle gerekli ancak sıkça görmezden gelinen bir unsur olan yazılım güncellemelerinin uygulanmasından kaynaklanmakta.

Kötü niyetli kişilerin (ulus devletler veya finansal amaçları olan suçlular) yazılım güncellemeleri aracılığıyla kötü amaçlı yazılımlar dağıtması ihtimali mevcut olsa da BT yöneticilerinin gelen güncelleme ve yamaları uygulamayı ihmal etmemesi gerekiyor.

Teknik borcun artması durumunda, oluşan güvenlik açıkları saldırganlar için bir giriş yolu oluşturur ve yeni kötü amaçlı yazılım dağıtma teknikleri, yamanmamış güvenlik açıklarıyla birleştiğinde çok endişe verici bir durum ortaya çıkar.

Ek olarak, karma çalışmanın yaygınlaşmasıyla birlikte son kullanıcıların sistemlerini yamama ve güncelleme konusunda daha fazla sorumluluk alması gerekiyor. Bu da güncellemelerin hiç yapılmamasına veya bu göreve alışkın olmayan ve BT ekiplerinin şüpheli olduğunu fark edecekleri davranışları kabul edebilecek kişiler tarafından yapılmasına neden olabiliyor. Liderler, çalışanların ilk güvenlik hattı olarak görev yapmasını sağlamak için siber güvenlik eğitimlerinin sunulmasını ve düzenli olarak güncellenmesini sağlamak zorunda.

Solarwinds, kötü amaçlı yazılım güncellemelerinden faydalanılan ilk olay değildi ve sonuncu da olmayacak. Ancak, şirket çapında farkındalık ve güçlü bir yama yönetimiyle savunmalarımızı güçlendirebiliriz.

Taking a closer look at software attack vectors

It's clear that both nation-states and hacker groups alike will continue to target supply chain providers across multiple industries. I’ve written about how technical debt can make organizations vulnerable. That’s one consideration. But how and where are bad actors launching new attacks? What other attack vectors could be exploited?

While attacks like Sunburst, ransomware attacks perpetrated by the REvil group such as against Kaseya and others continue to draw mainstream attention, one lesser-reported hack in 2021 caught my attention: the four OMIGOD vulnerabilities that affect the Open Management Infrastructure (OMI) software agent on Azure Linux machines.

Open source projects continue to grow exponentially. It’s true that open source software security has improved dramatically over the last 10 years, and it’s no question that open source software vulnerabilities are being patched at  a much more rapid pace. That’s the good news. But it’s also true that open source supply chain attacks are increasing at an alarming rate. In its 2021 State of the Software Supply Chain report, Sonatype estimates 12,000 attacks on open source projects occurred—representing a 650% increase year over year.

 

The competitive priority placed on innovation and relentless focus on shortening time-to-market drives organizations large and small to adopt open source projects. Government agencies and private sector organizations alike feel the pressure to innovate and to deploy software projects at an ever-increasing rate. But the adage to ‘move fast and break things’ comes at a cost, especially from a cybersecurity perspective.

As such, it’s imperative for each of us across the public and private sector to prioritize security across every one of our open source projects. Leveraging open source is partly about innovation and time to market. But organizations must perform due diligence at many stages throughout a project. That translates to multiple layers of code review both at the start of a project and throughout the development and deployment process. No small undertaking indeed - and made even more complicated when you consider exploits can come from bad actors outside or via internal resources working on those projects.

How can we protect ourselves?

A key weapon in the fight against malicious software updates is addressing technical debt. This is the difference between the ‘price’ (time, human resources, technology investment) a technical project should cost in order to be perfect and future-proofed, and the “price” an organization is prepared to pay at the time. Products can get behind the curve due to reduced investment, but a lot of this debt centres around applying software updates – absolutely necessary, and so often overlooked.

Even though there is the possibility that malicious actors (whether nation-state or financially-motivated criminal!) may output malware through software updates, IT administrators must keep on top of applying updates and patches as they come in.

If technical debt builds, vulnerabilities and security holes will provide a way in for attackers – and the combination of new malware delivery techniques plus unpatched vulnerabilities causes concern.

In addition, with the increase in hybrid working, end users are having to be more responsible for patching and updating their systems. This could lead to either updates not happening at all, or updates being applied by those unused to the task, meaning they are more likely to accept behavior IT teams would spot as suspicious. Leaders should ensure that cybersecurity training is rolled out and regularly updated, to ensure employees act as a first line of defense.

The Sunburst malware wasn’t the first incident to take advantage of malicious software updates and it certainly isn’t going to be the last, but with company-wide awareness and strong patch management we can raise our defenses.