ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), devlet sunucularına ilk erişim elde etmek amacıyla kimliği belirsiz tehdit aktörleri tarafından yüksek önemdeki Adobe ColdFusion güvenlik açığından aktif olarak yararlanıldığı konusunda uyardı.
CISA, “ColdFusion’daki (CVE-2023-26360) güvenlik açığı, uygunsuz erişim kontrolü sorunu olarak ortaya çıkıyor ve bu CVE’nin kötüye kullanılması, rastgele kod yürütülmesine neden olabilir.” söz konusuHaziran ve Temmuz 2023 arasında isimsiz bir federal kurumun hedef alındığı belirtildi.
Bu eksiklik ColdFusion 2018’i (Güncelleme 15 ve önceki sürümler) ve ColdFusion 2021’i (Güncelleme 5 ve önceki sürümler) etkilemektedir. Bu sorun, 14 Mart 2023’te yayımlanan sırasıyla Güncelleme 16 ve Güncelleme 6 sürümlerinde ele alınmıştır.
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Bir gün sonra CISA tarafından Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna, vahşi doğada aktif istismarın kanıtları öne sürülerek eklendi. Adobe, o sıralarda yayınlanan bir tavsiye belgesinde, kusurun “çok sınırlı saldırılarla vahşi ortamda istismar edildiğinin” farkında olduğunu söyledi.
Ajans, bu kusur nedeniyle halka açık en az iki sunucunun ele geçirildiğini ve her ikisinin de yazılımın eski sürümlerini çalıştırdığını belirtti.
CISA, “Ek olarak, tehdit aktörleri tarafından ele geçirilen web sunucularında çeşitli komutlar başlatıldı; istismar edilen güvenlik açığı, tehdit aktörlerinin HTTP POST komutlarını kullanarak kötü amaçlı yazılımları ColdFusion ile ilişkili dizin yoluna bırakmasına olanak tanıdı” dedi.
Herhangi bir yanal hareket veya veri sızıntısı gözlemlenmemiş olsa da, kötü niyetli faaliyetin daha geniş ağın haritasını çıkarmak için yürütülen bir keşif çalışması olduğunu gösteren kanıtlar mevcut.
Olaylardan birinde, saldırganın dosya sisteminde gezindiği ve web tarayıcı çerezlerini dışarı aktarabilen ikili dosyalar ile ColdFusion veri kaynaklarının şifrelerini çözmek için tasarlanmış kötü amaçlı yazılımlar da dahil olmak üzere çeşitli yapıları web sunucusuna yüklediği gözlemlendi.
Haziran 2023’ün başlarında kaydedilen ikinci bir olay, uzaktan erişim truva atının değiştirilmiş bir versiyonu olan bir uzaktan erişim truva atının konuşlandırılmasını gerektirdi. ByPassGodzilla web kabuğu ve “cihaza virüs bulaştırmak için bir JavaScript yükleyicisi kullanıyor ve eylemleri gerçekleştirmek için aktör tarafından kontrol edilen sunucuyla iletişim kurulmasını gerektiriyor.”
Düşman tarafından ayrıca Windows Kayıt Defteri dosyalarının dışına sızma ve bir komut ve kontrol (C2) sunucusundan başarısız bir şekilde veri indirme girişimleri de gerçekleştirildi.
CISA, “Bu olay sırasında analiz, tehdit aktörlerinin muhtemelen ColdFusion tohum.properties dosyasında yer alan verileri web kabuğu arayüzü aracılığıyla görüntülediğini güçlü bir şekilde ortaya koyuyor” dedi.
“Seed.properties dosyası, şifreleri şifrelemek için kullanılan tohum değerini ve şifreleme yöntemini içerir. Tohum değerleri, şifrelerin şifresini çözmek için de kullanılabilir. Kurban sisteminde, tehdit aktörlerinin, şifreleri kullanarak herhangi bir şifreyi çözmeye çalıştığını gösteren herhangi bir kötü amaçlı kod bulunamadı. tohum.properties dosyasında bulunan değerler.”