4 Yıldır Kapatılmayan ProxyLogon Açığı, Çin Destekli Saldırıların Hedefinde
Microsoft’un 2021’de yamaladığı ProxyLogon güvenlik açığı, dünya genelinde Exchange Server sistemlerinin %91’inde hala açık durumda. Çin hükümeti bağlantılı Salt Typhoon gibi siber casusluk grupları, bu zafiyetten yararlanarak telekomünikasyon ve devlet ağlarına saldırı düzenlemeye devam ediyor.
Çin hükümetiyle bağlantılı siber casusluk grubu Salt Typhoon tarafından ABD'nin telekomünikasyon ve devlet ağlarına yönelik saldırılarda kullanılan ProxyLogon adlı kritik güvenlik açığı, ilk olarak Mart 2021'de Microsoft tarafından kamuoyuna duyurulmuştu. Ancak, aradan geçen dört yıla rağmen bu açığa sahip Exchange Server sistemlerinin %91'i hala yamalanmamış durumda.
Tenable adlı siber risk yönetim şirketinin raporuna göre, dünya genelinde yaklaşık 30 bin halka açık Microsoft Exchange Server cihazı, CVE-2021-26855 (ProxyLogon) güvenlik zafiyeti nedeniyle saldırılara açık halde bulunuyor. Bu açık, Salt Typhoon ve diğer Çin hükümeti destekli grupların hedef sistemlerde uzaktan kod yürütmesine olanak tanıyor.
Salt Typhoon'un Taktikleri
Tenable araştırma mühendisi Scott Caveza, Salt Typhoon'un "kurban ağlarında tespit edilmeden uzun süre kalabilmek için özel kötü amaçlı yazılımlar kullandığını" belirtti. Grup tarafından kullanılan GhostSpider, SnappyBee ve Masol gibi kötü amaçlı yazılımlar, siber casusluğun temel araçları arasında yer alıyor.
Salt Typhoon'un yanı sıra Volt Typhoon ve Flax Typhoon gibi diğer Çin destekli gruplar da farklı alanlarda benzer stratejiler uyguluyor. Volt Typhoon'un ABD'nin kritik altyapısını hedef aldığı ve olası bir savaşta bu altyapıyı devre dışı bırakmayı amaçladığı ifade ediliyor. Flax Typhoon ise IoT cihazlarını hedef alarak gelecekte kullanılabilecek botnet ağları oluşturuyor.
Kongre'deki Gündem: Çin'in Siber Saldırıları
Dün ABD Temsilciler Meclisi İç Güvenlik Komitesi'nde gerçekleştirilen oturumda, Çin'in siber saldırıları ana gündem maddelerinden biri oldu. Uzmanlar, Çin’in ABD için en "yetenekli ve fırsatçı" siber tehdit unsuru olduğunu vurguladı.
Eski ABD Donanması Tuğamiral Mark Montgomery, Volt Typhoon'un ABD’nin lojistik ağlarını hedef alarak askeri harekatların hızını ve etkinliğini bozmayı amaçladığını belirtti. Montgomery, "Bu operasyonları savaş alanının hazırlanması olarak nitelendiriyorum" dedi.
Önlemler Alınmalı
Caveza, "Bu tehdit gruplarının ısrarcı saldırılarına rağmen, kuruluşların kamuya açık cihazlarını düzenli olarak yamalaması ve bilinen güvenlik açıklarını hızla kapatması hayati önem taşımaktadır" ifadelerini kullandı.
Tepkiniz Nedir?
