SolarWinds, ağlar ve altyapı için BT yönetimi ve izleme çözümlerinde uzmanlaşmış önde gelen bir yazılım şirketidir.
Şirket, 2020 yılında, bilgisayar korsanlarının Orion güncellemelerine kötü amaçlı kodlar ekleyerek 30.000’den fazla müşterinin ağlarını tehlikeye attığı önemli bir tedarik zinciri saldırısının ardından ün kazandı.
GreyNoise Labs araştırmacıları kısa süre önce bilgisayar korsanlarının SolarWinds Serv-U güvenlik açığı CVE-2024-28995’i vahşi ortamda aktif olarak kullandığını keşfetti.
Bilgisayar Korsanları SolarWinds Serv-U Güvenlik Açıklarından Yararlanıyor
Haziran 2024’te SolarWinds’in “Serv-U” dosya aktarım ürününün “kritik yol geçişi” güvenlik açığına sahip olduğu tespit edildi.
Bu kusur, saldırganların ‘HTTP’ isteklerindeki “InternalDir” ve “InternalFile” parametrelerini değiştirerek rastgele dosyaları okumasına olanak tanıyordu. Bu güvenlik açığını taklit eden bir bal küpü, istismar girişimlerini incelemek için kullanıldı.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Honeypot, üç ay boyunca “Linux” üzerinden erişim ve “Windows” üzerinde ‘C:\Windows\win.ini’ erişimi gibi temel araştırmalardan başlayarak çeşitli saldırı modellerini kaydetti.
denemeler ortaya çıktı ve kimlik bilgilerini düz metin olarak içerebilecek “unattished.xml” ve “sysprep.xml” gibi hassas dosyaları hedef aldı.
Tehdit aktörleri ayrıca ‘AWS’, ‘Azure’ ve ‘Google Cloud’ için “Windows kayıt defteri kovanlarını” (şifre verileri için SAM) ve “bulut hizmeti kimlik bilgilerini” aradı.
Bunun yanı sıra GreyNoise raporuna göre ilk etapta “Linux” sistemleri de incelendi ve öncelikli hedef “Windows” oldu.
Saldırılar, basit güvenlik açığı taramalarından yoğun suistimal girişimlerine kadar evrildi ve belirli tarihlerde (“7 Temmuz” ve “29 Temmuz”) yeni veri yükü türlerinde zirveler gözlendi.
Verilerdeki URL kodlaması ve karakter seti farklılıkları (“Kiril”), saldırganların kökenlerinin farklı olduğunu gösterir.
Açıklardan yararlanma sıklığı ve çeşitliliğinin zaman içinde azalması, tehdit aktörlerinin ilgisinin azaldığını veya olası hedeflere yönelik yama uygulamalarının iyileştirildiğini gösteriyor.
Ayrıca, bu gerçek dünya verileri, yaygın olarak kullanılan bir “kurumsal yazılım ürünündeki” “yüksek profilli bir güvenlik açığının” yaşam döngüsüne ve kullanım modellerine ilişkin yararlı bilgiler sağlıyor.
Bu analiz, istenen dosyaları “tarayıcılar”, “Windows kimlik bilgileri”, “web yapılandırmaları”, “veritabanları” ve “çeşitli ilginç dosyalar” gibi gruplara ayırarak, bir Serv-U sunucusunu hedef alan saldırganların dosya sızma girişimlerini inceler.
Burada web ile ilgili istekler “PHP”, “Apache”, “Nginx” ve “IIS” için Windows sistem yapılandırma dosyalarına odaklanırken, veritabanıyla ilgili girişimler “MySQL”, “PostgreSQL” ve “SQL Server”ı hedef aldı. yapılandırmalar ve veri dosyaları.”
Analiz ayrıca yöneticinin masaüstünde yazım hatası veya yanlış yol içeren “bozuk” istekleri ve “password.txt” gibi yaratıcı tahminleri de kaydetti.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri