Son günlerde, Microsoft SharePoint sunucularındaki sıfır günü açığını kullanan hackerların, çoğunlukla hükümet kuruluşlarını hedef aldığı bildiriliyor. Bu durum, araştırmacılar ve haber kaynakları tarafından doğrulanıyor.
Amerika Birleşik Devletleri siber güvenlik ajansı CISA, geçtiğimiz hafta sonu, önceden bilinmeyen bir hatanın istismar edildiğine dair bir uyarı yayınladı. Bu hata, Microsoft’un işletmeler için veri yönetim ürünü olan SharePoint’te tespit edildi. Censys isimli siber güvenlik firmasının baş araştırmacısı Silas Cutler, bu açığın ilk olarak hükümet kuruluşlarını hedef aldığını belirtti.
Cutler, “İlk istismarın dar bir hedef setine yönelik olduğunu görüyoruz. Muhtemelen hükümetle ilgili,” dedi. Ayrıca, bu durumun oldukça hızlı bir şekilde geliştiğini vurguladı ve “İlk aşamada bu açığın istismarının hedeflenmesinin sınırlı olduğunu düşünsem de, daha fazla saldırganın bu açığı nasıl istismar edeceğini öğrenmesiyle birlikte, bu olaydan kaynaklanacak ihlaller görebiliriz,” diye ekledi.
Artık bu açığın kamuya açıklanmasıyla birlikte, yalnızca hükümet için çalışan hackerların değil, diğer hackerların da bu durumu istismar etme ihtimalinin bulunduğunu belirten Cutler, internetten erişilebilen 9,000 ile 10,000 arasında savunmasız SharePoint örneği tespit ettiklerini ifade etti. Eye Security ise, dünya genelinde 8,000’den fazla SharePoint sunucusunu tarayarak, birçok sunucunun ihlal edildiğine dair kanıtlar buldu.
Hedeflerin sayısının sınırlı olması ve kampanyanın başındaki hedef çeşitliliği göz önüne alındığında, hackerların muhtemelen bir hükümet grubunun parçası olduğunu söylemek mümkündür. Bu tür gruplar genellikle gelişmiş kalıcı tehditler (APT) olarak tanımlanır.
Son olarak, Microsoft’un yaptığı açıklamaya göre, bu açık yalnızca yerel ağlarda kurulu SharePoint versiyonlarını etkilemekte; bulut versiyonları güvenli. Bu nedenle, SharePoint sunucusu kullanan her kuruluşun, güncellemeleri uygulaması veya sunucuyu internetten ayırması gerekiyor.
