Ülkenin kolluk kuvvetleri ve istihbarat teşkilatlarından yeni bir rapora göre, adı açıklanmayan bir ABD sivil yürütme organı kasıtsız olarak siber suçlulara ve devlet destekli tehdit aktörlerine altı aydır istihbarat sağlıyor.
Bu haftanın başlarında, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve diğer kurumlar, bilgisayar korsanlarının Ağustos 2022’den Ocak 2023’e kadar bu kuruluşun sistemlerine kesintisiz erişimi olduğunu iddia eden ortak bir rapor yayınladı.
Bulgaristan’dan bir yazılım geliştirme şirketi olan Progress Telerik tarafından oluşturulan ajans tarafından kullanılan programlarda keşfedilen birden fazla güvenlik açığını kullanarak hedef ağa eriştiler.
Peygamber Devesi ve XE Grubu
Kullanılan temel güvenlik açığı, 2020’den beri Progress Telerik yazılımının sürümlerinde bulunan dört yıllık bir güvenlik açığı olan CVE-2019-18835’tir. Diğer iki güvenlik açığıyla zincirlendiğinde uzaktan kod yürütülmesine yol açabilir: CVE-2017-11317 veya CVE -2017-11357.
Raporda belirli tehdit aktörlerinin adı verilmese de, Kayıt (yeni sekmede açılır) Çin merkezli olduğu iddia edilen bir grup olan Praying Mantis’in, bu özel kusuru kötüye kullanmasıyla en çok tanınan tehdit aktörü olduğunu bildirdi. Aynı kaynak, XE Group olarak bilinen bir tehdit aktörünün de açığı kullanarak keşif ve tarama faaliyetleri yürüttüğünün gözlemlendiğini ekliyor.
CISA, kusurun saldırganlara, kuruluşun çeşitli materyalleri depolamak için kullandığı Microsoft Internet Information Services (IIS) web sunucusuna erişim sağladığını söyledi:
CISA, “Web sunucusuyla etkileşimli erişimle sonuçlanan bu istismar, tehdit aktörlerinin savunmasız web sunucusunda başarılı bir şekilde uzaktan kod yürütmesini sağladı” dedi.
Daha eski güvenlik açıkları genellikle bilinir ve bu nedenle onu kullanan herhangi bir kötü amaçlı yazılım, virüsten koruma programları tarafından yakalanır. Ancak güvenlik açığı bulunan Progress Telerik araçlarının, virüsten koruma yazılımının tarama yapmadığı yerlere yüklendiği ortaya çıktı.
CISA, “Dosya yolları kuruluşa ve yükleme yöntemine bağlı olarak büyük ölçüde değiştiğinden, bu durum birçok yazılım yüklemesi için geçerli olabilir” diye ekledi.