Wiz araştırma ekibinden şaşırtıcı bir açıklamaya göre, popüler bir CI/CD uygulaması olan TeamCity’yi çalıştıran Honeypot sunucularındaki teminatsız Java Hata Ayıklama Tel Protokolü (JDWP) arayüzlerini hedefleyen sofistike bir siber saldırı keşfedildi.
Ekip, savunmasız bir makineyi açığa çıkardıktan sonraki saatler içinde, saldırganların uzaktan kod yürütülmesini (RCE) elde etmek için JDWP arayüzünden yararlandığını gözlemledi.
JDWP güvenlik açıklarının hızlı kullanımı
Birden fazla örnekte görülen bu endişe verici sömürü hızı, JDWP’nin siber suçlular için bir hedef olarak yüksek öncelikli durumunun altını çizmektedir.
Grinnoise gibi araçları kullanan araştırmacılar, son 90 gün içinde JDWP uç noktaları için tarama 6.000’den fazla benzersiz IP adresi belirledi ve bu tehdidin ölçeğini ve aciliyetini vurguladı.
Saldırı akışı, açık JDWP bağlantı noktaları için bir tarama ile başladı ve ardından arayüzün 5005 bağlantı noktasındaki kullanılabilirliğini doğrulamak için bir el sıkışma izledi.
Saldırgan kurulduktan sonra JDWP’nin Java Sanal Makinesi (JVM) ile etkileşim kurmak, yüklü sınıfları sorgulamak ve java.lang.runtime.getruntime () ve exec () gibi yöntemleri kötü amaçlı komutları yürütmek için çağırma konusunda varsayılan kimlik doğrulama eksikliğinden yararlandı.
Kriptominasyon dağıtım
Bu komutlar, uzak bir sunucudan logService.sh adlı bir damlacının indirilmesini kolaylaştırdı ve bu da meşru bir sistem yardımcı programı olarak gizlenmiş özelleştirilmiş bir XMRIG kriptominasyon yükü yükledi.
Bu değiştirilmiş madenci, şüpheli komut satırı argümanlarından kaçınarak algılamadan kaçınmak için sabit kodlanmış yapılandırmalar içeriyordu.
Ayrıca, saldırgan, kripto para birimi cüzdan adresini gizlemek için madencilik havuzu vekillerini kullandı ve operasyonlarını izleme çabalarını karmaşıklaştırdı.
Komut dosyası ayrıca, algılamayı en aza indirmek için ilk damlasının izlerini silerken, yeniden başlatmalardan veya girişlerden sonra kötü amaçlı yazılımların yeniden başlatılmasını sağlamak için kendisini kabuk başlangıç dosyalarına, SystemD hizmetlerine, CRON işlerine ve önyükleme komut dosyalarına yerleştirerek kapsamlı kalıcılık mekanizmaları oluşturdu.
Bu olay, Jenkins, Elasticsearch ve Spring Boot gibi uygulamalar için geliştirme ortamlarında yaygın olarak etkinleştirilmiş bir hata ayıklama aracı olan JDWP’deki doğal risklerin kesin bir hatırlatıcısıdır.
Varsayılan olarak aktif olmasa da, JDWP genellikle yeterli güvenlik olmadan hata ayıklama modunda çalışır ve saldırganların İnternet’e maruz kalması durumunda Java süreçleri üzerinde tam kontrol sahibi olmaları için bir ağ geçidi oluşturur.
Wiz ekibi, Yara kuralları ve Wiz çalışma zamanı sensörü ile aracıssız kötü amaçlı yazılım algılama gibi çözümlerinin JDWP sömürüsü, sistem dosyası değişiklikleri ve kriptominasyon faaliyetlerini izleyerek bu tehditleri tespit edebileceğini belirtiyor.
Bu saldırı, kuruluşların hata ayıklama arayüzlerini güvence altına almak ve benzer ihlalleri önlemek için sağlam izleme uygulamak için kritik bir uyandırma çağrısı görevi görür.
Uzlaşma Göstergeleri (IOCS)
| IOC Türü | Değer | Tanım |
|---|---|---|
| SHA-1 | A923de9df076d6c4be46191117b8cc6486cf19c | logservice.sh |
| SHA-1 | 1879d5fa0c2ca816fcb261e96338e325e76dca09 | logservice.sh |
| SHA-1 | 18D83BA336CA6926CE8B9D68F104CFF053F0C2F9 | O.SH – Saldırı Script |
| SHA-1 | 815bc1a79440cdc4a7e1d876ff2dc7bc4f53d25e | logrote etmek |
| Ivır zıvır | 185.196.8[.]123 | Dosya Sunucusu |
| Ivır zıvır | 185.208.156[.]247: 3333 | Madencilik havuzu |
| İhtisas | https: // awarmcorner[.]dünya | Yükler Dosya Sunucusu |
| Url | https: //s3.tebi[.]IO/DHCPDC/O.SH | Yük URL’si |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt