Geynoise’deki araştırmacılar, tanınmış bir Grafana kusurunu kullanma girişimlerinde ani bir artış gözlemlediler. CVE-2021-43798 olarak izlenen bu güvenlik açığı, saldırganların bir sunucudaki yolları geçmesine ve seçtikleri dosyaları okumasına izin verir.
Tek bir gün boyunca, 110 benzersiz IP adresi, Greynoise’in savunmasız Grafana örnekleri için küresel gözlem ızgarasını taradı. Bu adreslerin tümü kötü niyetli olarak işaretlendi.
Aktivitede bir günlük artış
Grafana sömürüsü son aylarda sessizdi ve 28 Eylül dalgalanmasını özellikle dikkate değer hale getirdi.
110 IPS’nin hepsi sadece üç ülkede Grafana sunucularına ulaşmaya çalıştı: ABD, Slovakya ve Tayvan.
Çoğu saldırı kaynağı, IP’lerin 107’sini oluşturan Bangladeş’ten geldi. Çin ve Almanya sırasıyla iki ve bir IP’ye katkıda bulundu.
Neredeyse tüm Bangladeş merkezli adresler ABD hedeflerine odaklandı. İlginç bir şekilde, bu IP’lerin büyük bir kısmı, saldırılarını başlattıkları gün ilk kez ortaya çıktı ve bu kampanya için özellikle döndüklerini gösterdi.
Saldırı trafiğinin dağılımı, kaynağın Bangladeş, Çin veya Almanya olsun, hedefler arasında tutarlı bir 3: 1: 1 oranını izledi.
Çin merkezli IPS, 7: 2: 2 deseninde bize, Slovakya ve Tayvan hedeflerine saldırdı. Almanya’nın tek adresi 3: 1: 1 bölünmesini izledi.
Bangladeş merkezli IP’ler de 100: 1: 1’e yakın bir şekilde yapıştı. Ayrıca, taramalarda görülen TCP ve HTTP parmak izleri, aynı sunucu kümesine karşı en az iki farklı alet kullanıldığını göstermektedir.
Tekdüzen hedefleme ve paylaşılan takımların bu kombinasyonu, rastgele, izole taramalar yerine koordineli bir kampanya veya yaygın olarak kullanılan bir istismar kiti önermektedir.
Çin tabanlı iki adres 60.186.152.35 ve 122.231.163.197 öne çıkıyor. Her ikisi de sadece 28 Eylül’de ortaya çıkan ve sadece Grafana Yolu geçiş girişimlerine odaklanan Chinanet-Backbone ağına ait.
CVE-2021-43798 gibi eski yüksek etkili kusurlardan yararlanmak yaygın bir taktiktir. Güvenlik danışmanları, yol geçirme ve ilgili grafana güvenlik açıklarının çok aşamalı istismar zincirlerinin büyük ölçekli SSRF dalgalarına ve keşif aşamalarına nasıl dokunduğunu belgelemiştir.
CVE-2025-6023 gibi daha yeni Grafana kusurları etrafındaki araçlar ve araştırmalar genişlemeye devam ederek bu platformları saldırganlar için cazip bir hedef haline getiriyor.
Kuruluşlar, 28 Eylül’de tanımlanan 110 kötü niyetli IP’yi hemen engellemeli ve tüm Grafana sunucularının CVE-2021-43798’e karşı yamalı olduğunu doğrulamalıdır.
Yol geçiş isteklerinin belirtileri için erişim günlüklerinin gözden geçirilmesi, hassas dosyalara erişilip erişmediğini doğrulayabilir.
Bu kampanya sırasında kullanılan ayrıntılı ağ imzalarıyla ilgilenen güvenlik ekipleri, JA4+ parmak izleri için Geynoise desteğine ulaşabilir.
Saldırganlar eski güvenlik açıklarına dönmeye devam ettikçe, zamanında yamalar ve uyanık izleme en iyi savunma olmaya devam ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.