Google, 2024 yılı boyunca "vahşi doğada" (kamuya açık sistemlerde) istismar edilen 75 adet sıfırıncı gün (zero-day) güvenlik açığı tespit ettiğini açıkladı. Bu sayı, 2023 yılında tespit edilen 98 sıfırıncı güne kıyasla bir düşüşe işaret ediyor.


Bu açıkların %44’ü kurumsal ürünleri hedef aldı. Özellikle güvenlik yazılımları ve ağ cihazlarında 20 güvenlik açığı tespit edildi.


Google Tehdit İstihbarat Grubu (GTIG) tarafından The Hacker News ile paylaşılan rapora göre:


"Tarayıcılar ve mobil cihazlara yönelik sıfırıncı gün istismarları ciddi oranda azaldı. Tarayıcılar için yaklaşık üçte bir, mobil cihazlar içinse yarıya yakın bir düşüş gözlemledik."


Bununla birlikte, birden fazla sıfırıncı gün açığını birleştirerek oluşturulan istismar zincirlerinin yaklaşık %90’ı hâlâ yalnızca mobil cihazları hedef alıyor.


Hangi Ürünler Hedef Alındı?


  • Microsoft Windows: 22 sıfırıncı gün açığı
  • Apple Safari: 3
  • iOS: 2
  • Android: 7 (3’ü üçüncü parti bileşenlerde)
  • Chrome: 7
  • Mozilla Firefox: 1


Kurumsal yazılımlar ve cihazlarda tespit edilen 33 sıfırıncı gün açığın 20’si, Ivanti, Palo Alto Networks ve Cisco gibi üreticilerin güvenlik ve ağ ürünlerini hedef aldı.
GTIG araştırmacılarına göre:


"Güvenlik ve ağ cihazları, yüksek izinlere sahip olmaları ve sistemler arası bağlantıyı yönetmeleri nedeniyle tehdit aktörleri için cazip hedefler haline geliyor."





2024’te hedef alınan kurumsal yazılım üretici sayısı 18 oldu. Bu sayı, 2021’de 12, 2022’de 17, 2023’te ise 22 idi.
En çok hedef alınan firmalar şunlar oldu:


  • Microsoft (26)
  • Google (11)
  • Ivanti (7)
  • Apple (5)



Saldırı Kümeleri


75 açığın 34’ü aşağıdaki 6 ana tehdit kümesine bağlandı:
  • Devlet destekli casusluk grupları (10): Çin (5), Rusya (1), Güney Kore (1)
  • Ticari gözetim yazılımı satıcıları (8)
  • Finansal amaçlı bağımsız gruplar (5)
  • Hem casusluk hem finansal amaç güden Kuzey Kore bağlantılı gruplar (5)
  • Rusya merkezli hibrit (finansal ve casusluk) gruplar (2)


Öne Çıkan Saldırılar


  • Kasım 2024: Ukrayna Diplomasi Akademisi web sitesine zararlı JavaScript enjekte edildi. Bu kod, CVE-2024-44308 açığı üzerinden keyfi kod çalıştırdı. Ardından CVE-2024-44309 kullanılarak XSS saldırısı başlatıldı ve kullanıcı çerezleri çalındı. Hedef: login.microsoftonline[.]com
  • Firefox ve Tor: CVE-2024-9680 + CVE-2024-49039 açıkları birlikte kullanılarak tarayıcı sandbox’ı aşıldı ve RomCom RAT yüklendi.
    Bu saldırı ESET tarafından da tespit edilmişti ve "RomCom" ya da "CIGAR" olarak izlenen bir tehdit grubuna atfedildi. Grup, hem casusluk hem de finansal amaçlı faaliyet gösteriyor.
Ayrıca, bu açıklar başka bir finansal motivasyonlu grup tarafından da bir kripto haber sitesi üzerinden "watering hole" (sulama deliği) saldırısıyla kötüye kullanıldı.



GTIG’den Açıklama:


GTIG Kıdemli Analisti Casey Charrier:


"Sıfırıncı gün istismarı yavaş ama istikrarlı şekilde artıyor. Ancak, büyük üreticilerin yatırımlarının etkisini görmeye başladık. Özellikle daha önce sık hedef alınan ürünlerde bu yıl daha az istismar gördük."
"Ancak tehdit, artık daha fazla kurumsal ürüne kayıyor. Bu nedenle daha fazla sayıda üreticinin, proaktif güvenlik önlemleri alması şart."