Vulnerable and Outdated Components Nedir 
Güncellenmeyen Yazılımların Sessiz Riski
“Saldırgan yeni bir açık aramaz; unutulmuş olanı kullanır.”
— Ersan Karavelioğlu
Vulnerable and Outdated Components Nedir
Vulnerable and Outdated Components, uygulama veya sistemlerde kullanılan
kütüphane, framework, paket ve bağımlılıkların bilinen güvenlik açıklarına rağmen
güncellenmeden çalıştırılmasıdır.
Kod sana ait olmayabilir; risk sana aittir.
Sessizdir, ama hedefi nettir.
OWASP’ta Yeri Nedir
OWASP Top 10 – A06
Gerçek dünyadaki ihlallerin önemli bir kısmı
eski bileşenler yüzünden olur.
Çünkü saldırganlar bu alanı ezbere bilir.
Neden Bu Kadar Tehlikelidir
Açık
bilinmektedir.
İstismar kodları internette hazırdır.
Saldırgan deneme yapmaz; uygular.
“Çalışıyor” Yanılgısı
Sistem sorunsuz çalışır gibi görünür.
Ama güvenlik borcu birikir.
Sessiz risk, en pahalı risktir.
Hangi Bileşenler Risk Altındadır
JavaScript paketleri (npm)
PHP kütüphaneleri (Composer)
Framework’ler
Bağımlılığı olan her şey.
Transitive Dependency Nedir
Senin kullandığın kütüphanenin kullandığı kütüphane.
Asıl açık genelde buradadır.
Görünmeyen bağımlılık, görünmeyen risktir.
Bilinen Açık (CVE) Gerçeği
CVE numarası olan açıklar
Detaylı teknik açıklamalar
Saldırgan için yol haritası hazırdır.
Patch Çıkmış Ama Uygulanmamışsa
Risk katlanır.
Çünkü artık “sıfır gün” değil,
ihmaldir.
Hukuki ve itibari sonuçlar ağırlaşır.
Legacy Sistemler Neden Risklidir
Güncellenemeyen eski versiyonlar
Destek bitmiştir
Açık kalıcıdır.
Framework Güncel, Plugin Eskiyse
Zincir en zayıf halkadan kopar.
Ana yapı sağlam olsa bile eklenti deliği açar.
CMS’lerde en sık görülen senaryo budur.
Açık Nasıl İstismar Edilir
Versiyon tespiti
Uygun exploit seçimi
Otomatik taramalar dakikalar içinde yapar.
WAF Bu Riski Engeller mi
Kısmen.
Açığın mantığı uygulama içindeyse WAF yeterli olmaz.
Güncelleme şarttır.
Neden Fark Edilmez
Performans sorunu yoktur.
Kullanıcı şikâyeti yoktur.
Güvenlik sessizce aşınır.
En Yaygın Hatalar
“Sonra güncelleriz.”
Versiyon takibi yapılmaz.
Envanter yoksa kontrol yoktur.
Açık Kaynak Güvensiz midir
Hayır.
Ama
takip edilmezse risklidir.
Güvenlik, lisansla değil süreçle ilgilidir.
Nasıl Tespit Edilir
Dependency scanning
SCA (Software Composition Analysis)
Ne kullandığını bilmiyorsan koruyamazsın.
Nasıl Önlenir
Güncel envanter
Düzenli patch süreci
Kullanılmayan bileşenleri kaldırma
Bakım, güvenliğin parçasıdır.
En Büyük Yanılgı
“Bizde saldırıya değer bir şey yok.”
Sunucu her zaman değerlidir.
Altyapı da bir hedeftir.
Son Söz Güncellenmeyen Kod, Açık Davetiyedir
Vulnerable and Outdated Components, saldırganın
en sevdiği kolay yoldur.
Açık biliniyorsa, saldırı gecikmez.
Güvenlik bazen yeni bir şey eklemek değil, eskisini güncellemektir.
“Bir sistemi en çok, unuttuğun kütüphaneler ele verir.”
— Ersan Karavelioğlu
