CISA’nın Malware Uyarısı: İki Yeni Güvenlik Açığı
Son dönemde siber saldırılar, özellikle büyük organizasyonlar için ciddi bir tehdit hâline gelmiştir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yeni bir uyarı yayınlayarak, Ivanti Endpoint Manager Mobile (EPMM) üzerinde keşfedilen iki önemli güvenlik açığı hakkında bilgi verdi. Bu güvenlik açıkları, kötü niyetli yazılımların bir organizasyonun ağına sızmasına neden oldu.
Güvenlik Açıkları ve Etkileri
CISA’nın raporuna göre, toplamda iki set zararlı yazılım bulundu. Bu yazılımlar, siber tehdit aktörlerinin yetkisiz kod çalıştırmasına olanak tanıyan loader‘ları içermektedir. Saldırıda kullanılan açıklar, CVE-2025-4427 ve CVE-2025-4428 olarak adlandırılmakta ve her ikisi de zero-day (sıfırıncı gün) açığı olarak kötüye kullanılmıştır.
CVE-2025-4427 açıkları, saldırganların korunan kaynaklara erişmesine izin veren bir kimlik doğrulama atlaması ile ilgilidir. Diğer yandan CVE-2025-4428, uzak sistemde kod çalıştırmayı mümkün kılar. Bu iki açığın birleşimi, saldırganların kimlik doğrulaması olmaksızın zarar görebilecek bir cihazda rastgele kod çalıştırmasını sağlamaktadır.
Saldırının Gelişimi
CISA, siber tehdit aktörlerinin, bu iki açık kullanılarak 15 Mayıs 2025’te EPMM sunucusuna erişim sağladıklarını belirtmektedir. O tarihte, bir proof-of-concept (PoC) saldırısı yayımlandı. Bu durum, saldırganların sistem bilgilerini toplamasını, zararlı dosyalar indirmesini ve ağ haritalama işlemlerini kolaylaştırdı.
Saldırının etkileri arasında, sunucuda çalışan birçok komut yürütme yeteneği bulunmaktadır. CISA, bu süreçte, saldırganların “/tmp” dizinine iki set zararlı dosya bıraktığını rapor etti. Her iki set de sunucuda kalıcılık sağlamak amacıyla rastgele kod enjekte etme yeteneği taşımaktadır.
İki Set Zararlı Yazılımın Analizi
İlk set (Set 1), web-install.jar (Loader 1), ReflectUtil.class ve SecurityHandlerWanListener.class dosyalarını içermektedir. İkinci set (Set 2) ise web-install.jar (Loader 2) ve WebAndroidAppInstaller.class barındırmaktadır.
Her iki set de, belirli HTTP isteklerini yakalayan ve daha sonra bunları şifre duşmasından geçirip yeniden işleyerek yeni sınıfların oluşturulmasını sağlayan zararlı bir Java sınıfı içermektedir. Özellikle ReflectUtil.class, Java nesnelerini manipüle ederek Apache Tomcat’te belirtilen kötü amaçlı dinleyiciyi yönetmektedir.
WebAndroidAppInstaller.class ise, farklı bir yöntemle çalışarak, bir istekteki şifre parametresini sabit bir anahtar kullanarak alır ve bu içerikleri yeni bir sınıfı tanımlamak için kullanır. Bu yeni sınıfın yürütülmesi sonucu elde edilen içerik, aynı sabit anahtar ile şifrelenir.
Veri Sızıntısı ve Kalıcılık
Saldırganlar, sunucuda herhangi bir sınırlama olmaksızın rastgele kod enjekte etme ve yürütme yeteneğine sahip olduklarından, izleme ve veri sızdırma süreçlerini kolaylıkla uygulayabilmektedir. HTTP isteklerini yakalayarak, daha sonraki hasar veya veri sızdırma işlemleri gerçekleştirebilmektedirler.
CISA tarafından önerilen bazı önlemler arasında, organizasyonların EPMM sistemlerini güncel tutmaları, şüpheli aktiviteleri izlemesi ve mobil cihaz yönetimi sistemlerine (MDM) yetkisiz erişimi önlemek için gerekli kısıtlamaları uygulaması gerektiği yer alıyor.
Önemli Tavsiyeler ve Korunma Yöntemleri
Organizasyonların bu tür saldırılardan korunmak için atması gereken adımlar şunlardır:
- Güncellemeleri Zamanında Yapın: Yazılımlarınızın güvenlik açıklarının kapatılması için güncellemeleri düzenli aralıklarla yapın.
- Şüpheli Faaliyetleri İzleme: Ağa bağlı cihazların aktivitelerini sürekli izleyerek, anormal davranışları hemen saptayın.
- Erişim Kontrollerini Güçlendirin: Mobil cihaz yönetim sistemlerinin güvenliğini artırarak yetkisiz girişlerin önüne geçin.
Bunlarla birlikte, çalışanlara siber güvenlik konusunda eğitim vermek ve farkındalık oluşturmak da son derece önemlidir. Unutulmamalıdır ki, siber güvenlik sürekli bir süreç ve her zaman dikkatli olunması gereken bir alandır.
