Aqua Nautilus’un araştırması, bilgisayar korsanlarının canlı spor yayınlarını çalmak için savunmasız ve yanlış yapılandırılmış Jupyter Notebook sunucularından yararlandığını ortaya koyuyor. Kullanılan teknikler, ilgili riskler ve kuruluşunuzu benzer saldırılardan nasıl koruyacağınız hakkında bilgi edinin.
Aqua Nautilus’taki siber güvenlik araştırmacıları, tehdit aktörlerinin yanlış yapılandırılmış JupyterLab ve Jupyter Notebook sunucularından yararlanarak yasa dışı spor etkinliklerini yayınladığı, canlı yayın yakalama araçlarını bıraktığı ve yasa dışı sunucularındaki yayınları çoğaltarak yayın kopyalamasına neden olduğu yeni bir saldırı tekniğini ortaya çıkardı.
Ne yazık ki, spor etkinliklerinin yasa dışı canlı yayınlanması, yayıncıları, ligleri ve meşru platformları etkileyen, giderek büyüyen bir sorundur. Kolayca bulunabilen yayın araçları ve yüksek hızlı internet sayesinde, izinsiz yayınlar hızla artıyor ve hem büyük ligler hem de izleyici gelirine bağlı küçük takımlar için mali kayıplara neden oluyor.
Blog yazısında araştırmacılar, “İngiltere, İskoçya ve Galler’de 5,1 milyon yetişkinin geçen yılın ilk altı ayında yasa dışı bir yayını izlediğini kabul etmesiyle sorun oldukça yaygın” dedi.
Bu örnekte, kırmızı bayrak görünüşte zararsız bir araç olan ffmpeg’di. Bu açık kaynaklı yazılım, video işleme ve akış için yaygın olarak kullanılmaktadır. Tehdit istihbaratı meşruiyetini doğrularken, daha yakından incelendiğinde bir değişiklik olduğu ortaya çıktı. Saldırganlar, canlı yayın kopyalama için ffmpeg’e erişim sağlamak ve dağıtmak amacıyla yanlış yapılandırılmış JupyterLab ve Jupyter Notebook ortamlarından yararlandı.
Saldırı, uzaktan kod yürütülmesine izin veren JupyterLab veya Jupyter Notebook’a kimliği doğrulanmamış erişimden yararlanılmasıyla başladı. Saldırganlar daha sonra sunucuyu güncelledi ve canlı spor yayınlarını yakalamak ve bunları kötü amaçlı bir sunucuya yönlendirmek üzere yeniden tasarlanan ffmpeg’i indirdi.
Bu, MITRE ATT&CK çerçevesinin, saldırganların yanlış yapılandırılmış Jupyter Notebook ve JupyterLab ortamları üzerinden erişim sağladığı bir saldırıda kullanıldığını ortaya koyuyor. Saldırganlar ffmpeg’i yükleyip çalıştırdı, video içeriğini sızdırdı ve çalınan akış verilerini aktarmak için kurbanın bant genişliğini kullandı.
Araştırmacılar, bu istismarın “hizmet reddine, veri manipülasyonuna, veri hırsızlığına, AI ve ML süreçlerinde bozulmaya, daha kritik ortamlara yatay geçişe ve en kötü senaryoda önemli mali ve itibar kaybına” yol açabileceğini açıkladı.
Saldırının kuruluşlar üzerindeki anlık etkisi önemsiz gibi görünse de, davranışsal analizin önemine işaret ediyor. Geleneksel güvenlik çözümleri bu tür etkinlikleri gözden kaçırabilir. Ancak canlı yayın yakalama için ffmpeg’in olağandışı dağıtımı ve yürütülmesi Aqua Nautilus’un güvenlik ekibini uyardı. Aqua Nautilus, ağ trafiğini, dosyaları ve bellek dökümlerini analiz ederek tüm saldırı dizisini yeniden yapılandırmayı başardı.
Kuşkusuz JupyterLab ve Jupyter Notebook veri bilimcileri için değerli varlıklardır ancak güvenlik eksiklikleri onları savunmasız bırakabilir. Çoğu zaman bu sunucular, güçlü bir güvenlik geçmişi olmayan kişiler tarafından yönetilir.
Bunları açık erişimle veya zayıf güvenlik duvarlarıyla internete bağlı bırakmak, tehdit aktörlerinin saldırı amacıyla bunlardan yararlanmasına olanak tanır. Açıkta kalan tokenlar tam erişim sağlayabileceğinden, tokenların yanlış kullanılması başka bir endişe kaynağıdır. Neyse ki kısıtlı IP’ler, güçlü kimlik doğrulama, HTTPS ve uygun belirteç yönetimi gibi en iyi uygulamaları uygulamak bu riskleri büyük ölçüde azaltabilir.
İLGİLİ KONULAR
- MSI yükleyicisi aracılığıyla sunulan yeni Jupyter bilgi hırsızı
- Qubitstrike Kötü Amaçlı Yazılım, Bulut Verileri için Jupyter Notebook’ları Etkiliyor
- Yeni Jupyter arka kapı kötü amaçlı yazılımı Chrome ve Firefox verilerini çaldı
- Python Uygulamalarında NTLM Kimlik Bilgisi Hırsızlığı Windows Güvenliğini Riske Atıyor
- PythonAnywhere Bulut Platformu Fidye Yazılımını Barındırmak İçin Kötüye Kullanılıyor