FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), popüler Laravel Web uygulama çerçevesini kullanan ve ilk uzlaşma için bilinen hatalardan yararlanan Apache web sunucularını ve web sitelerini hedef alan bir kötü amaçlı yazılım kampanyası hakkında bir uyarı yayınladı.
Kampanyanın nihai amacı, Amazon Web Services, Microsoft 365, Twilio ve SendGrid gibi yüksek profilli uygulamaların kimlik bilgilerini çalmak ve böylece tehdit aktörlerinin uygulamalardaki hassas verilere erişebilmesini veya uygulamaları diğer kötü amaçlı işlemler için kullanabilmesini sağlamaktır.
“Örneğin, tehdit aktörleri, savunmasız bir web sitesindeki AWS kimlik bilgilerini başarılı bir şekilde tanımlayıp ele geçirdiklerinde, yeni kullanıcılar ve kullanıcı politikaları oluşturmaya çalıştıkları gözlemlendi.” iki ajans söyledi. Pek çok olayda saldırganların, ek kötü amaçlı tarama faaliyetleri için yeni AWS örnekleri oluşturmak amacıyla çalınan kimlik bilgilerini kullandığını da belirttiler.
Kimlik Bilgisi Tehdidi ve Kötüye Kullanım
Kampanya, Lacework’ün “Androxgh0st” adlı bilinen bir kötü amaçlı yazılım tehdidini içeriyor ilk kez uyarıldım Aralık 2022’de. Python’da yazılan kötü amaçlı yazılım, Laravel .env dosyalarındaki kimlik bilgileri ve API anahtarları gibi uygulama sırlarını tarayıp çıkarmak için tasarlandı.
Laravel birçok geliştiricinin sıfırdan düşük seviyeli kod yazmaya gerek kalmadan ortak Web geliştirme görevleri için kullandığı açık kaynaklı bir PHP Web uygulama çerçevesidir. Laravel .env dosyaları popüler bir düşman hedefidir çünkü bunlar genellikle saldırganların AWS, Microsoft 365 ve Twilo gibi yüksek değerli uygulamalara erişmek ve bunları kötüye kullanmak için kullanabileceği kimlik bilgilerini ve diğer bilgileri içerir.
Lacework, kötü amaçlı yazılımın açığa çıkan kimlik bilgilerini ve API’leri tarayıp bunlardan yararlanabildiğini ve güvenliği ihlal edilmiş sistemlere Web kabukları dağıtabildiğini tespit etti.
Bu, kötü amaçlı koda yönelik ilk büyük kampanya değil; geçen Mart, Fortinet bildirdi Günde ortalama 40.000 Fortinet cihazında Laravel .env dosyalarını hedeflemek için Androxgh0st kullanan tehdit aktörlerini gözlemliyoruz.
Savunmasız Web Siteleri için Aktif Tarama
FBI ve CISA’ya göre Androxgh0st tehdit aktörleri, özellikle belirli güvenlik açıkları bulunan web sitelerini de aktif olarak tarıyor. CVE-2017-9841PHP kodunu test etmeye yönelik bir modül olan PHPUnit’teki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı.
Androxgh0st ve diğer kötü amaçlı yazılımları etkilenen web sitelerine bırakmak ve bunları diğer potansiyel hedefleri taramak ve onlar hakkında bilgi toplamak için kullanılan bir botnet’in parçası haline getirmek için güvenlik açığından yararlanıyorlar. CVE-2017-9841, 2017’den itibaren geniş çapta hedeflenen bir güvenlik açığıdır ve aşağıdaki gibi satıcılar tarafından Imperva milyonlarca saldırıyı rapor ediyor etkilenen sistemlerde en az 2020’nin başlarına kadar.
Birçok durumda, Androxgh0st saldırganlarının Apache HTTP Sunucusu 2.4.49 veya 2.4.50 sürümlerini çalıştıran ve güvenlik açığı bulunan Web sunucularını taradığı da gözlemlenmiştir. CVE-2021-417732021’den itibaren RCE’ye izin veren bir yol geçiş güvenlik açığı. CISA daha önce CVE-2021-41773’ün şunlar arasında olduğu konusunda uyarmıştı: güvenlik açıklarının listesi Çin destekli tehdit aktörlerinin kampanyalarında en çok suiistimal etme eğiliminde oldukları görülüyor.
FBI ve CISA uyarısında, tehdit aktörlerinin Laravel Web uygulamasını kullanarak web sitelerini taramak ve daha sonra alan adının kök .env dosyasının açığa çıkıp çıkmadığını belirlemek için botnet’i kullandıkları belirtildi.
İki kurum, “.env dosyası ifşa edilirse, tehdit aktörleri sayfadaki verilere erişmeyi denemek için /.env URI’sine bir GET isteği gönderecektir” dedi. “Alternatif olarak Androxgh0st, 0x adlı bir POST değişkeniyle aynı URI’ye POST isteği gönderebilir[] Web sunucusuna gönderilen belirli verileri içerir.”
Her iki yöntemden de başarılı bir yanıt alınırsa tehdit aktörleri, AWS, e-posta hesapları ve diğer kurumsal uygulamalara ait kullanıcı adları ve parolalar dahil olmak üzere .env dosyasındaki sırları arayabilir.
Bu ve benzeri tehditlere karşı korunmak için CISA aşağıdaki en iyi uygulamaları önerdi:
-
İnternet’e yönelik sistemlerde bilinen istismar edilen güvenlik açıklarına yama uygulanmasına öncelik verin;
-
Yalnızca gerekli sunucuların ve hizmetlerin İnternet’e açık olmasını gözden geçirin ve emin olun;
-
Yetkisiz erişim veya kullanım açısından .env dosyalarında kimlik bilgileri listelenen platformları veya hizmetleri inceleyin.