Microsoft, yazılım geliştiricilerinin halka açık olarak açıklanan ASP.NET makine anahtarlarını halka açık kaynaklardan dahil ettikleri ve böylece uygulamalarını saldırganların yoluna koydukları güvensiz bir uygulamaya uyuyor.
Teknoloji devinin tehdit istihbarat ekibi, Aralık 2024’te, kötü amaçlı kod enjekte etmek ve Godzilla Sıkıştırma Sonrası çerçevesini sunmak için halka açık, statik bir ASP.NET Machine anahtarı kullanarak bilinmeyen bir tehdit oyuncusu içeren sınırlı faaliyet gözlemlediğini söyledi.
Ayrıca, aradığı bu tür saldırılar için kullanılabilecek 3.000’den fazla kamuya açıklanmış anahtar tanımladığını da kaydetti. Viewstate Kod Enjeksiyon Saldırılarını Görüntüle.
“Daha önce bilinen birçok ViewState kodu enjeksiyon saldırıları, genellikle karanlık web forumlarında satılan tehlikeye atılmış veya çalıntı anahtarlar kullanırken, bu kamuya açıklanan anahtarlar, birden fazla kod deposunda mevcut oldukları için daha yüksek bir risk oluşturabilir ve değişiklik yapmadan geliştirme koduna itilmiş olabilirler , “Microsoft söz konusu.
ViewState, ASP.NET Framework’te sayfayı korumak ve geri dönüşler arasındaki değerleri kontrol etmek için kullanılan bir yöntemdir. Bu, bir sayfaya özgü uygulama verilerini de içerebilir.
“Varsayılan olarak, durum verilerini görüntüleyin Gizli bir alanda sayfada saklanır ve Base64 kodlaması kullanılarak kodlanır,” Microsoft notalar belgesinde. “Buna ek olarak, bir makine kimlik doğrulama kodu (MAC) tuşu kullanılarak verilerden görünüm durumu verilerinin bir karması oluşturulur. Kodlanmış görünüm durum verilerine karma değeri eklenir ve sonuçta ortaya çıkan dize sayfada saklanır.”
Karma değeri kullanırken, fikir, görünüm durumu verilerinin kötü niyetli aktörler tarafından bozulmamasını veya tahrif edilmesini sağlamaktır. Bununla birlikte, bu anahtarlar çalınırsa veya yetkisiz üçüncü taraflar için erişilebilir hale getirilirse, tehdit oyuncusunun kötü niyetli bir görüntüleme isteği göndermek ve keyfi kod yürütmek için anahtarlardan yararlanabileceği bir senaryoya açılır.
Redmond, “İstek, hedeflenen sunucuda ASP.NET çalışma zamanı ile işlendiğinde, ViewState, doğru anahtarlar kullanıldığı için şifrelenir ve başarıyla doğrulanır.” “Kötü amaçlı kod daha sonra işçi işlem belleğine yüklenir ve yürütülür ve Tehdit Oyuncusu IIS web sunucusundaki uzaktan kod yürütme özelliklerini sağlar.”
Microsoft bir karma değerlerin listesi Kamu açıklanan makine anahtarları için müşterileri kontrol etmek onları ortamlarında kullanılan makine anahtarlarına karşı. Ayrıca, kamuya açıklanan anahtarların başarılı bir şekilde kullanılması durumunda, tehdit aktörlerinin ev sahibi üzerinde zaten kalıcılık oluşturmuş olabileceği için sadece anahtarların döndürülmeyeceği konusunda uyardı.
Bu tür saldırıların sağladığı riski azaltmak için, genel olarak mevcut kaynaklardan anahtarları kopyalamaması ve anahtarları düzenli olarak döndürmeniz önerilir. Tehdit aktörlerini caydırmak için bir başka adım olarak Microsoft, önemli eserleri belgelere dahil edildikleri “sınırlı örneklerden” çıkardığını söyledi.
Geliştirme, bulut güvenlik şirketi Aqua’nın detaylarını açıkladığı gibi geliyor. Opa bekçisi Kubernetes ortamlarında yetkisiz konteyner görüntülerinin dağıtılması da dahil olmak üzere yetkisiz eylemler yürütmek için kullanılabilecek baypas.
Araştırmacılar Yakir Kadkoda ve Assaf Morag, “K8SallowedRepos Politikasında, Rego Logic’in kısıtlama dosyasında nasıl yazıldığından bir güvenlik riski ortaya çıkıyor.” söz konusu Hacker News ile paylaşılan bir analizde.
“Bu risk, kullanıcılar kısıtlama YAML dosyasındaki rego mantığının onları nasıl işlediğiyle uyumlu olmayan değerleri tanımladığında daha da güçlendirilir. Bu uyumsuzluk, politika bypass ile sonuçlanabilir ve kısıtlamaları etkisiz hale getirir.”
