Microsoft’un SharePoint açığı, devlet kurumlarını da tehdit ediyor
Microsoft’un popüler belge paylaşım ve iş birliği yazılımı SharePoint’teki sıfır gün açığı, dünya genelinde büyük bir siber casusluk kampanyasına yol açtı. Aralarında devlet kurumlarının da bulunduğu yaklaşık 100 kuruluşun ağına sızılan saldırı, binlerce sunucuyu tehdit altına sokmuş durumda.
Microsoft, Cumartesi günü yaptığı açıklamada SharePoint yazılımında “aktif saldırılar” tespit edildiğini duyurdu. Şirketin bulut üzerinden çalışan SharePoint örneklerinin bu saldırılardan etkilenmediği belirtilse de, kendi sunucularında barındırılan sürümler için tehdit hâlâ devam ediyor.
“Sıfır gün” olarak adlandırılan bu saldırılar, daha önce bilinmeyen bir güvenlik açığının kullanılmasıyla gerçekleşti. Saldırganlar bu sayede sistemlere sızarak uzun süreli erişim sağlamak için arka kapılar yerleştirebiliyor.
Hollanda merkezli siber güvenlik firması Eye Security, saldırıların ilk kez geçen Cuma günü müşterilerinden birini hedef almasıyla ortaya çıktığını belirtti. Firma, yapılan internet taramalarında yaklaşık 100 kurban tespit edildiğini açıkladı. Ancak bu rakam, saldırı tekniği kamuoyuna açıklanmadan önceki durumu yansıtıyor. Eye Security’den Vaisha Bernard, başka tehdit aktörlerinin bu açığı kullanarak ek arka kapılar yerleştirip yerleştirmediğinin bilinmediğini söyledi.
Shadowserver Foundation da 100 kurban bilgisini doğrularken, çoğunluğunun ABD ve Almanya’da yer aldığını ve bazı devlet kurumlarının da etkilendiğini bildirdi. Etkilenen kurumların isimleri paylaşılmasa da ilgili ulusal otoriteler bilgilendirildi.
Saldırının ardında bir hacker grubu olabilir
Saldırının ardında organize bir hacker grubunun olabileceği düşünülüyor. Sophos’un Tehdit İstihbaratı Direktörü Rafe Pilling, olayın şu ana kadar tek bir aktörün işi gibi göründüğünü, ancak durumun hızla değişebileceğini vurguladı.
Microsoft ise saldırıyla ilgili yaptığı açıklamada güvenlik güncellemelerinin yayımlandığını ve kullanıcıların bu yamaları acilen uygulamaları gerektiğini belirtti.
FBI saldırılardan haberdar olduğunu, ancak soruşturma devam ettiği için daha fazla bilgi paylaşamayacağını açıkladı. İngiltere Ulusal Siber Güvenlik Merkezi ise Birleşik Krallık’ta “sınırlı sayıda” hedefin etkilendiğini duyurdu.
Öte yandan saldırıdan etkilenmiş olabilecek sunucu sayısı çok daha yüksek olabilir. Shodan verilerine göre internete açık 8 binden fazla SharePoint sunucusu potansiyel hedef konumunda. Bu sunucular arasında sanayi devleri, bankalar, sağlık kuruluşları ve kamu kurumları da bulunuyor.
İngiliz siber güvenlik danışmanı Daniel Card, yaşanan olayın küresel çapta ciddi bir sızma vakası olduğunu ve yalnızca yazılım güncellemesiyle yetinilmemesi gerektiğini ifade etti.
Microsoft, son dönemde sık sık siber saldırıların hedefi olmuştu. Geçtiğimiz yıl Exchange Online hesaplarının hacklenmesiyle ilgili yapılan bir inceleme, şirketin güvenlik kültürünü “yetersiz” olarak tanımlamıştı. Olayda yüzlerce kişinin yanı sıra dönemin ABD Ticaret Bakanı Gina Raimondo’nun da hedef alındığı ortaya çıkmıştı.
Kaynak: Gazete Oksijen
