Medusa Ransomware ve GoAnywhere Yazılımı Üzerindeki Kritik Güvenlik Açığı
Son günlerde siber güvenlik alanında büyük bir endişe yaratan Medusa ransomware, Fortra’nın GoAnywhere yazılımında keşfedilen kritik bir güvenlik açığı sayesinde yayılmaya başladı. Microsoft’un tespit ettiği Storm-1175 isimli tehdit aktörü, bu açığı kullanarak Medusa ransomware’ini dağıtmakta. Bu açıktan yararlanmak, kötü niyetli kişilere bazı dokümana erişim ve sistem üzerinde kontrol sağlama imkanı sunuyor.
CVE-2025-10035 Açığı Nedir?
CVE-2025-10035, 10.0 CVSS puanına sahip kritik bir deserialization hatasıdır. Bu, kimlik doğrulama olmaksızın komut enjeksiyonuna yol açabilecek bir güvenlik açığıdır. Bu açığın, GoAnywhere yazılımının 7.8.4 sürümünde ve 7.6.3 Sustain Release’de giderildiği belirtiliyor. Microsoft’un Tehdit İstihbarat ekibi, bu güvenlik açığının bir tehdit aktörünün geçerli bir şekilde sahte lisans yanıtı imzası ile zararlı nesneleri deseralize etmesine olanak tanıyabileceğini vurguladı.
Storm-1175 Tehdit Aktörünün Taktikleri
Storm-1175, 11 Eylül 2025’ten bu yana kamuya açık uygulamaları sömürerek ilk erişimini sağlamaya yönelik bilinen bir siber suç grubudur. watchTowr, en azından 10 Eylül’den beri bu açığın aktif bir şekilde kullanıldığına dair bazı bulgulara ulaştıklarını bildirdi. Bu durum, saldırıların daha önceden başladığına işaret ediyor.
Başarılı bir güvenlik açığı istismarı, saldırganların sistem ve kullanıcı keşifleri yapmasına, uzun dönem erişim sağlamalarına ve ek araçlar ile lateral hareket gerçekleştirmelerine olanak tanır. Saldırı zincirinde, ilk erişim sonrası uzaktan izleme ve yönetim (RMM) araçları olan SimpleHelp ve MeshAgent gibi yazılımlar kullanılıyor. Saldırganlar, genellikle bu RMM araçları ile aynı anda GoAnywhere MFT dizinlerinde .jsp dosyaları yaratıyorlar.
Saldırı Zincirinin Aşamaları
Saldırı zincirinin ilk aşaması, uzaktan izleme araçlarının yüklenmesidir. Bu araçlar kullanılarak sistem, kullanıcı ve ağ keşifleri yapılır. Ardından, mstsc.exe (Windows Uzaktan Masaüstü Bağlantısı) kullanarak ağ üzerinde lateral hareket sağlanır. İlgili RMM araçları, bulut tabanlı bir Control (C2) ile çalışır ve bu süreçte Microsoft, bir kurban ortamında Rclone kullanılarak veri sızdırmayı tetikleyen olayları gözlemlemiştir.
Bu saldırı süreci, Medusa ransomware’inin dağıtımına zemin hazırlıyor. Benjamin Harris, watchTowr’un CEO’su ve kurucusu, Fortra’yı eleştirerek, “GoAnywhere MFT kullanan organizasyonlar 11 Eylül’den beri sessiz bir saldırıya tabi tutuluyor. Microsoft’un onayı, açık bir istismar, tahakkuk ve saldırganlar için bir ay boyunca süregelen bir avantaj sağlıyor,” ifadelerini kullandı.
Fortra’nın Rolü ve Kullanıcıların Çektiği Sıkıntılar
Saldırının linklendiği Fortra, bu güvenlik açığının nasıl ortaya çıktığına dair yeterli bilgi vermemesiyle eleştirilmektedir. Müşterilerin durumu hakkında yalnızca şeffaflık beklediklerini vurgulayan Harris, bu kritik güvenlik açığının kullanıcıları nasıl etkilediği konusunda bilgi verilmesini istiyor. Müşterilerin bu tarz bir durumla karşılaştıklarında, organizasyonların güvenliğini koruyan ve üst seviyede bilgi veren firmalarla çalışmaları gerektiği belirtiliyor.
Medusa Ransomware’ın Etkileri ve Korunma Yöntemleri
Medusa ransomware, bulaştığı sistemleri etkileyerek kullanıcı verilerini şifreler ve bu verilerin geri alınması için fidye talep eder. Bu tür bir saldırının sonucunda organizasyonlar hem finansal kayıplar yaşar hem de itibar kaybı ile karşı karşıya kalır. Bu nedenle, kullanıcıların öncelikle sistemlerinin güvenliğini sağlamak amacıyla güncel yazılımları kullanmaları; ayrıca düzenli yedekler alarak verilerini koruma altında tutmaları kritik önem taşımaktadır.
Kullanıcıların, güçlü parolalar kullanması ve çift faktörlü kimlik doğrulama uygulamalarıyla hesaplarını korumaları da, bu tür siber saldırılara karşı etkili önlemler arasında yer alır. Anlık güvenlik yamalarını ve güncellemeleri takip etmek, yazılımların güncel kalmasını sağlar ve olası güvenlik açıklarını minimize eder.
Siber güvenlik alanında alınacak titiz önlemler, kullanıcıların bu tür tehditlere karşı daha dirençli olmasına olanak sağlayacaktır.
