Amazon Threat Intelligence Uyarısı: CISO’ların Dikkatine!
Amazon Threat Intelligence, Cisco Secure Firewall Management Center (FMC) Yazılımı’nda tespit edilen kritik bir güvenlik açığının kullanıldığı aktif bir Interlock fidye yazılımı kampanyası hakkında uyarıda bulundu. Bu durum, siber güvenlik alanında ciddi bir tehdit oluştururken, etkilenmiş sistemlerin korunması için acil tedbirler alınması gerektiğini göstermektedir.
Güvenlik Açığı ve Yetkiler
Bahsedilen güvenlik açığı, CVE-2026-20131 (CVSS puanı: 10.0) olarak tanımlanmaktadır. Bu açık, kullanıcı tarafından sağlanan Java byte akışının güvensiz bir şekilde deseralize edilmesi nedeniyle ortaya çıkmakta, yetkilendirilmemiş uzaktan bir saldırganın kimlik doğrulamasını atlayarak hedef cihazda root olarak rastgele Java kodlarını çalıştırmasına olanak tanımaktadır.
Amazon’un global sensör ağı tarafından toplanan verilere göre, bu güvenlik açığı Ocak 26, 2026 tarihinden itibaren “zero-day” olarak kullanılmakta ve Cisco tarafından halka açıklanmadan bir aydan fazla bir süre önce istismar edilmiştir. Amazon’dan CJ Moses, “Interlock, bir haftalık bir öncelik ile kuruluşları tehlikeye atma fırsatı buldu.” şeklinde açıklamalarda bulunmuştur.
Saldırı Nasıl Çalışıyor?
Saldırı zinciri, etkilenen yazılıma özel HTTP istekleri göndererek başlamaktadır. Aşağıdaki adımlar sürecin nasıl işlediğini net bir şekilde göstermektedir:
- Özel HTTP istekleri ile Java kodunun çalıştırılması hedeflenir.
- Başarılı bir saldırı sonrası, uzaktan bir sunucuya HTTP PUT isteği gönderilir.
- Saldırgan, uzaktan bir sunucudan ELF binary’si alarak ek araçlar yükler.
Bu süreçte kullanılan tespit edilen araçlar aşağıda listelenmiştir:
- Windows ortamını sistematik şekilde taramak için kullanılan PowerShell betikleri.
- Komut ve kontrol için JavaScript ve Java ile yazılmış özel uzaktan erişim trojanları.
- HTTP ters proxy olarak yapılandırılmış Linux sunucuları için Bash betiği.
- Gelen HTTP isteklerini kontrol eden bir bellek içi web shell.
- Başarılı kod çalıştırmasını doğrulamak için kullanılan hafif bir ağ sinyalci.
- ConnectWise ScreenConnect ile kalıcı uzaktan erişim.
- Açık kaynaklı bellek forensik framework olan Volatility Framework.
Etkilenen Sistemler
Interlock grubunun saldırılarına hedef olabilecek sistemler genel olarak Cisco Secure Firewall ürünlerini içermektedir. Bu nedenle, organizasyonların özellikle bu ürünleri kullanıyorsa dikkatli olmaları gerekmektedir.
Çözüm ve Korunma
Bu açık aktif olarak istismar edildiğinden, kullanıcıların aşağıdaki önlemleri derhal alması gerekmektedir:
- Güvenlik yamanızı hızlı bir şekilde uygulayın.
- Potansiyel bir compromis tespiti için güvenlik değerlendirmeleri yapın.
- Yetkisiz ScreenConnect kurulumlarını gözden geçirin.
- Kapsamlı bir savunma stratejisi uygulayın.
Moses, “Ana konu, sadece bir güvenlik açığı veya bir fidye yazılım grubuyla ilgili değil; sıfır-gün istismarlarının her güvenlik modeli için taşımış olduğu temel zorluktur” ifadelerini kullanmıştır.
Sonuç
Okuyucular, Interlock fidye yazılımı kampanyasına karşı dikkatli olmalı ve yukarıdaki adımları atarak sistemlerini koruma altına almalıdır. Hızlı güncellemeler yapmak, güvenlik denetimlerini gerçekleştirmek ve potansiyel zafiyetleri kapatmak, siber saldırılara karşı alınabilecek en etkili önlemlerdir. Unutmayın, her zaman “savunma derinliği” stratejisi uygulanması, olası bir saldırının önüne geçmek için kritik öneme sahiptir.
