SharePoint açığı dünya çapında alarm verdi, binlerce sistem risk altında
Microsoft’un kurumsal belge paylaşım aracı SharePoint, son günlerde dünya genelinde gerçekleşen çok kapsamlı bir siber saldırının merkezi haline geldi. Aralarında ABD’deki federal ve eyalet kurumlarının da bulunduğu birçok kuruluş, saldırganların sistemlerine sızdığını bildirdi.
“Sıfırıncı Gün” saldırısı: Bilinmeyen açık, büyük tahribata yol açtı
Siber güvenlik uzmanları, bu saldırının daha önce hiç belgelenmemiş bir yazılım zafiyetinden faydalanarak gerçekleştirildiğini belirtti. “Sıfır gün” (zero-day) olarak adlandırılan bu açık, SharePoint’in yerel (on-premise) sunucularını etkiliyor. Bulut tabanlı Microsoft 365 sistemlerinin saldırıdan etkilenmediği bildirildi.
ABD Federal Soruşturma Bürosu (FBI), durumdan haberdar olduklarını ve özel sektörle birlikte kapsamlı bir soruşturma yürüttüklerini açıkladı.
Kurbanlar arasında hükümet kurumları, enerji firmaları ve üniversiteler var
Washington Post’un haberine göre, saldırganlar aralarında federal devlet kurumları, üniversiteler, enerji sağlayıcıları ve bir Asya telekom firmasının da bulunduğu çeşitli hedefleri ihlal etti. Ayrıca, Avrupa ve Güney Amerika’da da bazı devlet kurumlarının etkilendiği belirtildi.
Hollanda merkezli Eye Security adlı güvenlik firması, en az 50 büyük ölçekli ihlali belgelediklerini, bazılarının Outlook ve Teams gibi kritik hizmetleri de kapsadığını duyurdu. Özellikle kriptografik anahtarların ele geçirilmesiyle, hacker’ların sistemlere daha sonra tekrar sızma potansiyelinin endişe verici olduğu vurgulandı.
Microsoft’tan kritik yama: Ama yeterli mi?
Microsoft, hafta sonunda yalnızca bir SharePoint sürümü için güvenlik güncellemesi yayımladı. Ancak diğer savunmasız sürümler hâlâ tehdit altında. Şirket, çalışmaların sürdüğünü, ama kullanıcıların sistemlerini internetten izole etmesinin en güvenli çözüm olduğunu ifade etti.
Belgeler çalındı mı? Erişim engellendi
ABD’nin doğusundaki bir eyalet yetkilisi, halkın erişimine açık olan belge arşivinin hacker’lar tarafından ele geçirildiğini, kurumun artık bu verilere ulaşamadığını ancak silinip silinmediğinin belirsiz olduğunu söyledi. Aynı kaynak, “Bu belgeleri yeni bir sistemde tekrar erişilebilir hale getirmemiz gerekecek,” dedi.
Güvenlik açığı yayılıyor, ama kim sorumlu?
Henüz saldırıyı kimin gerçekleştirdiği netlik kazanmış değil. Ancak bazı siber güvenlik firmaları, saldırıların Çin merkezli IP adreslerinden geldiğini ve bazı hedeflerin doğrudan ABD hükümetiyle bağlantılı olduğunu aktardı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), cuma günü konuyla ilgili Microsoft’la iletişime geçtiğini ve SharePoint açığının daha geniş çaplı güvenlik sorunlarına yol açabileceğini bildirdi.
Finansman kesintisi müdahaleyi geciktirdi
İnternet Güvenliği Merkezi (CIS), 100’den fazla kurumu savunmasız oldukları konusunda bilgilendirdiklerini ancak tehdit istihbaratı ve müdahale ekiplerinin CISA fonlarının %65 oranında kesilmesi nedeniyle geciktiğini belirtti.
