CISA’nın yakın zamanda yayınladığı bir siber güvenlik tavsiyesi, meçhul bilgisayar korsanlarının Adobe ColdFusion’daki kritik bir güvenlik açığından yararlandığı endişe verici bir ihlali ortaya çıkararak, korkunç bir siber saldırıyı gün ışığına çıkardı.
Bu istismar devlet sunucularını hedef alarak siber güvenlik ortamına şok dalgaları gönderdi.
Bu uğursuz sızıntının merkezinde, ColdFusion’ın 2018 Güncelleme 15 ve önceki sürümlerinin yanı sıra 2021 Güncelleme 5 ve önceki sürümlerine de kötü gölge düşüren bir güvenlik açığı olan CVE-2023-26360 yatıyor.
ColdFusion 2016 ve 11’in desteklenmeyen kurulumları bile savunmasız hale geldikçe kapsam genişliyor ve kapsamlı siber güvenlik önlemlerinin aciliyeti artıyor.
İhlalden Yararlanmak – Saldırıyı Çözmek
Dijital bir iskelet anahtarı olan bu istismar, bilgisayar korsanlarına sınırsız erişim sağlayarak, ele geçirilen hükümet sistemlerinde keyfi kod yürütmelerine olanak sağladı.
Salt veri erişiminin çok ötesinde olan bu ihlal, potansiyel veri sızıntısına, sistem manipülasyonuna ve ağ içindeki yanal hareketin uğursuz hayaletine kapıları açtı.
Yakın zamanda yayınlanan “AA23-339A Tehdit Aktörleri, Devlet Sunucularına İlk Erişim için Adobe ColdFusion CVE-2023-26360’ı İstismara Uğradı” başlıklı danışma belgesi, bu siber girdabın karmaşık ayrıntılarını ele alıyor.
Ağ savunucuları, olayı ayrıntılarıyla inceleyen ve saldırının anatomisini açığa çıkaran sayfalarda paha biçilemez bilgiler bulur.
Saldırganların çalışma yöntemi, eski ColdFusion sürümlerini çalıştıran halka açık web sunucularını hedeflemeyi içeriyordu.
Uç Nokta için Microsoft Defender, suiistimali tespit etti ancak son nokta atıldı; sunucuların güvenliği ihlal edildi.
Titiz bir teknik analiz, güvenlik açığından HTTP POST komutları aracılığıyla yararlanıldığını ve ardından kötü amaçlı kodların dağıtıldığını ortaya koyuyor.
Açıklanan Olaylar – İkili Cepheden Saldırı
İstişari rapor, muhtemelen farklı tehdit aktörleri tarafından düzenlenen iki farklı olayı ortaya çıkarıyor.
Olay 1’de, bilgisayar korsanları bir ColdFusion v2016.0.0.3 sunucusuna sızarak labirent gibi bir dizi eylem gerçekleştirdi.
Olay 2, ColdFusion v2021.0.0.2 sunucusunun ele geçirilmesine tanık oldu ve uzaktan erişim truva atının (RAT) konuşlandırılması ve hassas dosyaların sızmaya çalışılması da dahil olmak üzere farklı taktikleri açığa çıkardı.
Bu olayların ardından yaşananlar, bilinen güvenlik açıklarının, özellikle de internete bakan sistemlerin musallat olanlarının düzeltilmesi zorunluluğunun açık bir hatırlatıcısıdır.
Kuruluşlar, yama uygulamasının ötesinde savunmalarını güvenli yapılandırmalar, ağ bölümleme, uygulama kontrolü ve çok faktörlü kimlik doğrulamanın dayanıklı kalesi ile güçlendirmelidir.
CISA, kuruluşları CVE-2023-26360’ın rahatsız ettiği tüm ColdFusion sürümlerini güncellemeye çağıran ses getiren bir direktif yayınladı.
Rehberlikleri, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na dayalı olarak yama uygulamaya öncelik verilmesini, güvenli yapılandırmaların uygulanmasını, varsayılan kimlik bilgilerinin devre dışı bırakılmasını ve ağ bölümleme ve web uygulaması güvenlik duvarlarıyla savunmaların güçlendirilmesini kapsar.
Sonuç olarak, tavsiye belgesi yalnızca kritik direktifler vermekle kalmıyor, aynı zamanda saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) de ortaya çıkarıyor.
Bu bilgiyle donanmış güvenlik uzmanları, dijital alanı sürekli gelişen siber tehditlere karşı güçlendirerek daha güçlü tespit ve önleme stratejileri geliştirebilir.