Giriş
Son zamanlarda, Quest KACE Sistem Yönetim Aygıtı (SMA) üzerinde bulunan ciddi bir güvenlik açığının siber saldırganlar tarafından istismar edilmesi durumu gündeme geldi. Güvenlik açığı, yöneticilik hesaplarının ele geçirilmesine yol açarak büyük güvenlik riskleri yaratıyor.
Saldırı Nasıl Çalışıyor?
Arctic Wolf tarafından yapılan bir araştırma, CVE-2025-32975 (CVSS puanı: 10.0) koduna sahip bir kimlik doğrulama atlatma zafiyetinin, yamalanmamış SMA sistemleri üzerinde siber saldırganlar tarafından aktif olarak kullanıldığını ortaya koymuştur. Bu zafiyet, saldırganların geçerli kimlik bilgileri olmadan meşru kullanıcıları taklit etmelerine ve yöneticilik hesaplarını tamamen ele geçirmelerine olanak tanır.
Saldırganlar, zafiyeti kullanarak yöneticilik hesaplarını kontrol altına almakta ve uzak bir sunucudan Bayt64 kodlamalı yükleri indirip çalıştırmak için curl komutunu kullanmaktadır. Saldırganların, runkbot.exe adlı bir arka plan süreci ile ek yöneticilik hesapları oluşturduğu ve PowerShell betikleri aracılığıyla Windows Kayıt Defteri’nde değişiklikler yaptığı tespit edilmiştir.
Etkilenen Sistemler
Bu güvenlik açığı, aşağıdaki sürümlerde bulunan sistemleri etkilemektedir:
- 13.0.385
- 13.1.81
- 13.2.183
- 14.0.341 (Patch 5)
- 14.1.101 (Patch 4)
SMA sistemlerinin internet üzerinden erişime kapatılması önerilmektedir.
Çözüm ve Korunma
Yöneticilerin, aşağıdaki önlemleri alması gerekmektedir:
- En son güncellemeleri uygulamak
- SMA örneklerini internete kapatmak
- Şüpheli aktiviteleri izlemek ve kaydetmek
Sonuç
Güvenlik açıklarının istismar edilmesinin önüne geçmek adına, yukarıda belirtilen güncellemeleri hemen uygulamanız ve SMA sistemlerinizi internet erişiminden izole etmeniz kritik öneme sahiptir. Ağınızdaki potansiyel zafiyetleri azaltmak için gerekli adımları atmalısınız.
