Daha önce, Aralık 2023’te, SSH sunucularının, tehdit aktörlerinin bir SSH protokol sürümünün sürümünü düşürerek istismara karşı savunmasız hale getirebildiği yeni Terrapin Saldırısına karşı savunmasız olduğu bildirilmişti. Ayrıca bu saldırı, kurbanları saldırganın kontrolündeki bir kabuğa yönlendirmek için de kullanılabilir.
Bu saldırının temel nedenleri, SSH anlaşmasındaki kimlik doğrulama hatası ve sıra numaralarının sıfırlanmamasıydı. Bu, Önek Kesilmesi, sıra numarası manipülasyonu ve uzantı anlaşması sürüm düşürme saldırıları gibi SSH sunucularına yönelik çeşitli saldırılara katkıda bulunur.
11 Milyon Savunmasız Sunucu
Cyber Security News ile paylaşılan raporlara göre Shadowserver’a göre dünya çapında yaklaşık 11 milyon SSH sunucusunun bu terrapin saldırısına karşı savunmasız olduğu keşfedildi. Onaylanmış bir istismar raporu olmamasına rağmen, her ülkede istismar edilebilecek birçok sunucu vardır.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Bu rapor, güncel tarihlerle birlikte “ssh”, “ssh6” ve “CVE-2023-48795” içeren arama sorgularıyla Shadowserver ile yapılan aramaya dayanmaktadır. Ayrıca bu sunucular arasında IPv4 ve IPv6 SSH sunucuları da bulunmaktadır. CVE’ye 5,9’luk bir şiddet derecesi verilmiştir (Orta).
ABD 3,3 Milyondan fazla sunucuyla listenin başında yer alırken, onu 1,3 Milyon sunucuyla Çin takip ediyor. Almanya ve Rusya’nın sırasıyla 1 Milyon ve 700 Bin güvenlik açığı bulunan sunucuya sahip olduğu tespit edildi.
Daha sonra Singapur, Japonya, Fransa, İngiltere ve Hollanda’da yaklaşık 350 ila 400 bin arasında savunmasız SSH sunucusu vardı. Hong Kong, Kanada ve Hindistan’da da yaklaşık 200 bin ve 300 bin savunmasız SSH sunucusunun bulunduğu tespit edildi.
Ancak bu saldırının tehdit aktörleri tarafından istismar edildiğine dair hiçbir kanıt bulunmuyor. Saldırının kapsamı göz önüne alındığında, su kaplumbağası saldırısının siber suçlular için umut verici bir hedef haline gelme ihtimali daha yüksek.
Bu su kaplumbağası saldırısının önlenmesi ve tehdit aktörlerinin kurbanı olmalarının engellenmesi için kuruluşların uygun güvenlik önlemlerini almaları önerilmektedir.