Giriş
SolarWinds, Serv-U dosya transfer yazılımında dört kritik uzaktan kod çalıştırma açığını kapatan güvenlik güncellemelerini yayımladı. Bu güvenlik açıkları, saldırganların yamalanmamış sunucularda kök erişimi elde etmesine olanak tanıyabilir.
Saldırı Nasıl Çalışıyor?
SolarWinds’in Serv-U 15.5.4 sürümünde düzeltme yapılan en ciddi güvenlik açığı CVE-2025-40538 kodu ile takip edilmektedir. Bu açık, yüksek ayrıcalıklara sahip bir saldırganın, etkilenen sunucularda kök veya yönetici izinleri kazanmasını sağlamaktadır.
SolarWinds, ayrıca iki tip karışıklık açığı ve bir Güvensiz Doğrudan Nesne Referansı (IDOR) açığını kapatmıştır. Bu açıklar, kök ayrıcalıklarıyla kod çalıştırmak için kullanılabilir. Şu an için bu dört güvenlik açığı, hedef sunucularda zaten yüksek ayrıcalıklara sahip olunmasını gerektirdiğinden, olası sömürü girişimlerini sınırlayan bir yapıya sahiptir.
Etkilenen Sistemler
Shodan verilerine göre, şu anda 12,000‘den fazla internet üzerinden erişilebilir Serv-U sunucusu bulunmaktadır. Buna karşın, Shadowserver bu sayıyı 1,200‘den az tahmin etmektedir.
Dosya transfer yazılımları, genellikle hassas kurumsal ve müşteri verileri içeren belgeleri kolayca erişilebilir hale getirdikleri için saldırılar için sıklıkla hedef alınmaktadır.
Geçmişteki Saldırılar
Son beş yıl içinde, çok sayıda siber suç ve devlet destekli hacker grupları, Serv-U açıklarını veri hırsızlığı saldırılarında hedef almıştır. Clop çetesi, Serv-U Güvenli FTP uzaktan kod çalıştırma açığını (CVE-2021-35211) kullanarak, fidye saldırılarında kurumsal ağları ihlal etmiştir.
Microsoft tarafından DEV-0322 olarak izlenen Çin merkezli hackerlar, genel olarak ABD savunma ve yazılım şirketlerini hedef alarak, CVE-2021-35211 açıklarını Temmuz 2021’den itibaren sıfırıncı gün saldırılarında kullanmıştır. Daha yakın bir zamanda, Haziran 2024’te, Rapid7 ve GreyNoise gibi siber güvenlik şirketleri, SolarWinds Serv-U yol geçişi açığını (CVE-2024-28995) tehditle aktarıldığını bildirmiştir.
Çözüm ve Korunma
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), şu anda dokuz SolarWinds güvenlik açığını izlemektedir. Bu açıklar, doğada hala aktif bir şekilde sömürüldüğü veya sömürüldüğü tespit edilmiştir.
- Güncelleme yapın: SolarWinds Serv-U yazılımınızı hemen 15.5.4 sürümüne güncelleyin.
- Portları kapatın: Sunucularınıza gereksiz olan dış bağlantıları engelleyin.
- Kullanıcı erişimlerini gözden geçirin: Yönetici izinlerinizi dikkatle yönetin ve gereksiz erişimleri kaldırın.
