Giriş
NGINX sunucularında gerçekleştirilen bu yeni saldırı yöntemi, kullanıcı trafiğini tehlikeli bir şekilde yönlendiren bir kampanya olarak dikkat çekiyor. Bu tür saldırılar, siber güvenlik açısından ciddi tehditler oluşturmakta ve var olan sistemlerin güvenliğini tehlikeye sokmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırganlar, NGINX yapılandırma dosyalarını değiştirmek amacıyla kötü niyetli ‘location’ blokları enjekte ediyor. Bu bloklar, saldırganların seçtiği URL yollarındaki gelen istekleri yakalıyor ve ‘proxy_pass’ direktifi ile kendi kontrolündeki alanlara yönlendiriyor.
- İlk Tehdit: Kullanılan direktif, normalde yük dengeleme amacıyla NGINX’in alternatif arka uç sunucu grupları arasında istekleri yönlendirmesine izin verir, bu durum herhangi bir güvenlik alarmı tetiklemez.
- Başarılı Geçiş: İstek başlıkları (örneğin, ‘Host,’ ‘X-Real-IP,’ ‘User-Agent,’ ve ‘Referer’) korunarak, trafiğin yasal görünmesi sağlanır.
Etkilenen Sistemler
Araştırmacılar, DataDog Security Labs’tan elde edilen verilere göre, bu saldırı kampanyası şunları hedef almaktadır:
- Asya uzantılı alan adlarına sahip web siteleri (.in, .id, .pe, .bd, ve .th)
- Devlet ve eğitim siteleri (.edu ve .gov)
- Baota hosting yönetim panelleri
Script Kullanımı ve Aşamalar
Saldırı, çok aşamalı bir araç seti kullanılarak gerçekleştirilmektedir. Araç seti beş aşamadan oluşur:
- Aşama 1 – zx.sh: İlk olarak kontrol scripti olarak görev yapar, diğer aşamaları indirmek ve çalıştırmakla sorumludur.
- Aşama 2 – bt.sh: Baota paneli ile yönetilen NGINX yapılandırma dosyalarını hedef alır.
- Aşama 3 – 4zdh.sh: NGINX’in yaygın yapılandırma yerlerini enumerated eder ve değişiklikleri doğrular.
- Aşama 4 – zdh.sh: Daha dar bir hedefleme yaklaşımı kullanarak belirli alan adlarına odaklanır.
- Aşama 5 – ok.sh: Compromised NGINX yapılandırmalarını tarayarak haritalar oluşturur ve verileri bir C2 sunucusuna aktarır.
Çözüm ve Korunma
Bu tür saldırıları tespit etmek zordur, çünkü NGINX’deki bir zafiyeti kullanmazlar. Bunun yerine kötü niyetli talimatları yapılandırma dosyalarına gizlerler. Kullanıcı trafiği hala hedefe ulaşır, bu nedenle kullanıcılar daha fazla inceleme yapmadıkça saldırganın müdahalesinin farkına varması beklenmez.
- Tavsiye: NGINX yapılandırma dosyalarınızı düzenli olarak gözden geçirin.
- Güncellemeleri Kontrol Edin: Yazılımınızı en son güvenlik güncellemeleri ile güncel tutun.
- Portlarınızı Kapatın: Gereksiz portları kapatın ve sadece gerekli olanları açık bırakın.
Sonuç olarak, NGINX sunucularının güvenliğini sağlamak için gerekli adımları atmanız kritik öneme sahiptir. Yazılım güncellemelerini düzenli olarak uygulamak ve yapılandırma dosyalarını dikkatlice incelemek, bu tür tehditlere karşı en etkili korunma yöntemleri arasında yer almaktadır.
