ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2023 yılında adı açıklanmayan bir federal kurumda yapılan kırmızı ekip tatbikatının, kurumun en kritik varlıklarını istismara açık bırakan bir dizi güvenlik hatasını ortaya çıkardığını açıkladı.
CISA bunlara SILENTSHIELD değerlendirmeleri adını veriyor. Ajansın özel kırmızı ekibi, araştırmak için bir federal sivil yürütme organı (FCEB) ajansını seçer ve bunu önceden haber vermeksizin yapar. Tüm bunlar uzun vadeli düşman bir ulus-devlet tehdit grubunun manevralarını simüle etmeyi hedefler.
Ajansın tatbikatla ilgili açıklamasına göre, kırmızı ekip hedef ajansın Oracle Solaris yerleşkesindeki yamalanmamış bir güvenlik açığından (CVE-2022-21587 – 9.8) yararlanarak ilk erişimi elde etmeyi başardı. Kimliği doğrulanmamış bir uzaktan kod çalıştırma (RCE) hatası olan ve neredeyse maksimum 9.8 CVSS derecesi taşıyan CVE-2022-21587’nin Şubat 2023’te CISA’nın bilinen istismar edilen güvenlik açığı (KEV) kataloğuna eklendiğini belirtmek gerekir. CISA’nın kırmızı ekibi tarafından ilk saldırı 25 Ocak 2023 tarihinde gerçekleştirildi.
CISA’nın raporunda şu ifadeler yer alıyor: “Ekip, erişim sağladıktan sonra kuruluşun güvenilir temsilcilerini yama uygulanmamış cihaz hakkında derhal bilgilendirdi, ancak kuruluşun mevcut yamayı uygulaması iki haftadan fazla sürdü. Buna ek olarak, kuruluş etkilenen sunucularda IOC’leri ortaya çıkaracak ve tam bir olay müdahalesine yol açması gereken kapsamlı bir araştırma yapmadı.”
KEV kataloğuna eklenen güvenlik açıkları birkaç anlama gelmektedir. Birincisi bu açıkların siber suçlular tarafından istismar edildikleri bilinmektedir ve ciddi sonuçlara yol açabilirler. İkincisi, hatalar kataloğa eklendiğinde, FCEB kurumlarının bunları yamalaması gereken son tarihler de gelir. KEV kataloğunun uygulamaya konmasından bu yana CISA, federal kurumların bu son tarihlere ne derece uydukları konusunda net bir bilgi vermese de bu vaka yama zaman çizelgelerine her zaman uyulmadığını göstermekte.
CISA ilk saldırıdan sonra manevralarını da yenilemiş
Solaris bölgesine erişim sağladıktan sonra kırmızı ekip, hassas web uygulamalarına ve veritabanlarına aylarca erişim sağlamalarına rağmen, eksik kimlik bilgileri yollarını tıkadığı için ağın Windows kısmına geçemediklerini fark etti. Yılmayan CISA, hedef kurumun kimliği belirsiz üyelerine kimlik avı saldırıları düzenledikten sonra Windows ağına girmeyi başardı.
Bu erişimi elde ettikten sonra, kırmızı ekip kalıcı bir RAT (uzaktan erişim trojanı) enjekte etti ve daha sonra güvenli olmayan yönetici kimlik bilgilerini keşfetti, bu da aslında değerlendirilen ajans için oyunun bittiği anlamına geliyordu. CISA, “Erişilen sunucuların hiçbirinde, ağdaki hassasiyetlerine ve kritik işlevlerine rağmen, fark edilebilir herhangi bir ek koruma veya ağ erişim kısıtlaması yoktu” diyor.
CISA saldırısı 5 ay boyunca fark edilmemiş!
Değerlendirmenin ilk beş ayında, hedef FCEB ajansı SILENTSHIELD faaliyetlerinin hiçbirini tespit edememiş veya düzeltememiş, bu da gerçek kötü niyetli faaliyetleri tespit etme kabiliyeti konusunda endişelere yol açmıştır.
Tespit sorunlarından işlemlerin başlarında şüphelenilmişti. Örneğin, tatbikatın Solaris aşamasında enjekte edilen RAT, ajansta hiç kimseyi uyarmadan C2 üzerinden 8 GB ağ trafiğinin akmasına neden oldu. Yapılan resmi açıklamaya göre CISA’nın sonunda ajansı zor durumdan kurtarmasının ardından, güvenlik ekibi ve sistem yöneticileriyle haftalık toplantılar düzenlenerek “bilinen teknikler için yanıt sürelerinde ölçülebilir iyileşmeler ve daha önce bilinmeyen ticari araçları ortaya çıkaran davranış tabanlı tespitler” sağlandı.
Benzer siber tatbikatlar ülkemizde de BTK koordinasyonuyla gerçekleştiriliyor. Ayrıca Milli Savunma Bakanlığı aracılığıyla katıldığımız bölgesel ve NATO tatbikatları da mevcut. Ancak söz konusu siber tatbikatlar ardından kapsamlı raporlar ve bulgular kamuoyuyla paylaşılmıyor.