DevOps Web Sunucularında Yeni Kripto Para Saldırısı
Son günlerde, siber güvenlik araştırmacıları, halka açık erişime sahip DevOps web sunucularını hedef alan yeni bir kripto hırsızlığı kampanyası keşfetmiş bulunmaktadır. Özellikle Docker, Gitea ve HashiCorp Nomad ile ilişkili sunucuların tehdit altında olduğunu belirtelim. Cloud güvenlik firması Wiz, bu etkinliği JINX-0132 adı altında takip etmektedir. Araştırmacılar, kötü niyetli aktörlerin, bilinen konfigürasyon hataları ve zafiyetleri kullandığını ifade etmektedir.
Nomad Yanlış Konfigürasyonları ve Tehditler
Wiz’in raporuna göre, JINX-0132 kampanyası, Nomad konfigürasyonlarını kötüye kullanarak madencilik yazılımını yaymayı başarmaktadır. Araştırmacılar Gili Tikochinski, Danielle Aminov ve Merav Bar, Nomad’ın kötü konfigürasyonlarının ilk kez bu kadar açık bir şekilde saldırı vektörü olarak kullanıldığını belirtmişlerdir.
Bu saldırılarda dikkat çeken bir diğer husus, kötü niyetli aktörlerin gerekli araçları doğrudan GitHub havuzlarından indirerek, kendi altyapılarını kullanmaktan kaçınmalarıdır. Bu, sorumluluk bulmayı zorlaştırıcı bir taktik olarak değerlendirilmektedir. Nomad, yüzlerce istemciyi yöneten sistemlerin CPU ve RAM kaynaklarını kullanarak on binlerce dolara mal olabilecek bir güç kaynağına dönüşmektedir.
Docker API Kullanımının Tehlikeleri
Docker API’sinin kötüye kullanımı, bu tür saldırılar için yaygın bir başlangıç noktasıdır. Kaspersky, geçtiğimiz hafta, yanlış yapılandırılmış Docker API örneği hedef alan tehdit aktörlerinin bulunmuş olduğunu bildirmiştir. Açık Docker API örnekleri, tehdit aktörlerinin kötü niyetli kod çalıştırmasına olanak tanır. SATA kodlarıyla standart Docker uç noktalarını kullanarak madencilik yapmalarına zemin hazırlamaktadır.
Wiz’in raporuna göre, saldırganlar ayrıca Gitea’da bir zafiyet veya yanlış yapılandırmadan yararlanarak hedefte bir ilk adım elde etmektedir. Özellikle, kamuya açık Gitea örneklerinin, var olan bir kullanıcının git hook‘ları oluşturma izinlerine sahip olması durumunda, uzaktan kod çalıştırma saldırısına karşı savunmasız olduğu belirlenmiştir.
Gitea ve Consul Üzerinden Yapılan Saldırılar
Gitea’nın yanı sıra, HashiCorp Consul da doğru yapılandırılmadığı takdirde, uzaktan erişime açık olan bir kullanıcı tarafından hizmetlerin kaydedilmesine olanak tanır. Bu tür bir yapılandırma, sistemde kötü niyetli bash komutları yürütme olasılığını beraberinde getirir. JINX-0132 kampanyası, bu olanakları kötüye kullanarak madencilik yazılımını çalıştıracak şekilde hizmetler eklemektedir.
Nomad’ın API’sinde de aynı sorunlar gözlemlenmiştir. Herhangi bir kısıtlama olmaksızın job oluşturmaya izin veren bir yapılandırma, kaynağı açık olan sistemlere uzaktan kod çalıştırma imkânı sunmaktadır. Shodan verilerine göre dünya genelinde 5,300’den fazla açık Consul sunucusu ve 400’den fazla açık Nomad sunucusu bulunmaktadır.
Açık Web UI Sisteminin Kötüye Kullanımı
Son olarak, Sysdig’in açıkladığı bir başka zararlı yazılım kampanyası, Linux ve Windows sistemlerini hedef almak için yanlış yapılandırılmış bir sistem üzerinden Open WebUI kullanarak kripto madencilik yazılımları yüklemektedir. Bu sistemin internete açık bırakılması, kötü niyetli aktörlerin komut çalıştırmasını kolaylaştıran ciddi bir güvenlik açığıdır.
Araştırmacılar, açık olan bu sistemleri tarayarak bulmuş ve içeriğe uğramışlardır. Python betikleri yükleyerek çalışma mantıklarını genişletmiştir. Yüklenen zararlı kod, T-Rex ve XMRig gibi kripto madencilik yazılımlarını indirip çalıştırmakta, sistemde kalıcılık sağlamak için systemd servislerini oluşturmaktadır.
Ayrıca, saldırılar sırasında Discord webhookları kullanılarak komut ve kontrol imkânı sağlamaktadır. Windows sistemlerinde ise, saldırı benzer şekilde ilerlemekte; ancak, Java Geliştirme Kiti (JDK) yüklenerek zararlı JAR dosyalarının çalıştırılması söz konusudur. Bu dosyaların hedefi, Discord ve kripto para cüzdanlarının kimlik bilgilerini çalmaktır.
Bu tür akıllı saldırılara karşı dikkatli olmak ve sistemleri güvenli bir şekilde yapılandırmak büyük önem arz etmektedir. 17,000’den fazla Open WebUI örneğinin internete açık olduğu bilgisi düşünülünce, bu sorunlar daha da göz önüne çıkmaktadır.
