CISA, XE grubunun aktif sömürüsü nedeniyle bilinen sömürülen güvenlik açıkları (KEV) kataloğuna iki Veracore güvenlik açığı ekledi: CVE-2024-57968 ve CVE-2025-25181.
Bu güvenlik açıkları, avantaj tarafından bir depo yönetimi yazılımı olan Veracore’u etkiler, imalat ve dağıtımdaki tedarik zincirleri için kritiktir.
CVE-2024-57968, 2024.4.2.1 sürümünde yamalanırken, CVE-2025-25181, Mart 2025 itibariyle riskleri artırarak açılmamıştır.
XE Group, bazı durumlarda dört yılı aşkın bir süredir erişimi koruyarak web mermileri dağıtmak için bu kusurları kullandı.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), vahşi doğada aktif olarak sömürülen güvenlik açıklarını izlemek için KEV kataloğunu korur ve organizasyonlara iyileştirmeye öncelik vermeye yardımcı olur.
Veracore, depo yönetimi ve sipariş yerine getirilmesi için yaygın olarak kullanılmaktadır, bu da güvenlik açıklarını tedarik zinciri güvenliği için önemli bir endişe haline getirmektedir.
Güvenlik açıkları ve teknik detaylar
- CVE-2024-57968: Sınırsız bir dosya güvenlik açığı (CVSS 9.9). Kimlik doğrulamalı kullanıcıların yetersiz giriş doğrulaması nedeniyle istenmeyen sunucu dizinlerine keyfi dosyaları yüklemelerine olanak tanır. Veracore 2024.4.2.1’de yamalı.
- CVE-2025-25181: Bir SQL enjeksiyon güvenlik açığı (CVSS 5.8). Uzak saldırganların, potansiyel olarak veritabanı içeriklerini ortaya çıkararak, tasarlanmamış giriş yoluyla kötü amaçlı SQL sorguları enjekte etmelerini sağlar. Mart 2025 itibariyle hiçbir yama mevcut değil.
Saldırı nasıl çalışır
XE grubu bu güvenlik açıklarını çok aşamalı bir saldırıda zincirler:
SQL enjeksiyonu yoluyla ilk erişim (CVE-2025-25181):
Saldırganlar, Veracore’da savunmasız uç noktaları hedefleyen kötü amaçlı SQL yükleri ile HTTP talepleri oluşturur.
Örnek:? ID = 1 gibi bir parametre; Web_Config’ten * SELECT *, uygun şekilde sterilize edilmezse veritabanından hassas verileri (örn. Kimlik bilgileri) alabilir.
Bu adım, doğrulanmış erişim sağlayarak yapılandırma dosyalarını (örneğin, web.config) veya kullanıcı kimlik bilgilerini çıkarır.
Web Kabuğu Dağıtım (CVE-2024-57968):
Çalınan kimlik bilgilerini kullanarak saldırganlar, bir ASPX Web kabuğunu (örn. ASPXSPY) yazılabilir bir dizine yüklemek için dosya yükleme kusurundan yararlanır.
Küçük bir komut dosyası (genellikle <100 satır) olan web kabuğu, uzaktan komut yürütme, dosya manipülasyonu ve kalıcılığa izin verir.
Örnek Komut: CMD.EXE /C DIRE DOĞRULARI LİSTEME VEYA 7Z.EXE ARMIVE.ZIP * Exfiltration için verileri sıkıştırmak için.
Web kabuğu, 2020’ye kadar uzanan durumlarda görüldüğü gibi, saldırganların yıllar içinde geri dönmesini sağlayan bir arka kapı sağlar.
Meşru trafiği taklit ederek dosya sistemini numaralandırır, verileri dışarı atarlar ve gizliliği korurlar.
2010 yılından bu yana aktif olan XE Group, tedarik zincirlerini hedefliyor ve veri hırsızlığı ve operasyonel aksamalar için bu sıfır gün kusurlarından yararlanıyor. Dört yılı aşkın bir süredir tespit edilmesi yetenekleri, saldırının sofistike olmasının altını çiziyor, lojistik ve kritik altyapıya yönelik riskler ortaya koyuyor.
Öneriler
- CVE-2024-57968 için: Dosya Yükleme Sökümünü engellemek için Veracore 2024.4.2.1’e güncelleme.
- CVE-2025-25181 için: Bir yama serbest bırakılıncaya kadar Giriş Doğrulaması, Hazır İfadeler ve SQL enjeksiyon denemeleri için ağ izleme gibi hafifletmeler uygulayın.
- Genel: Güçlü kimlik doğrulama kullanın, web kabuğu etkinliği için izleyin (örn. Olağandışı ASPX dosyaları) ve CISA’nın rehberliğini izleyin.
CISA’nın bu güvenlik açıklarını KEV kataloğuna dahil etmesi, muhtemelen Mart 2025’in başlarında güncellenen, acil bir hareket ihtiyacı olduğunu işaret ediyor. Veracore kullanan kuruluşlar, XE Group’un kalıcı saldırılarından devam eden tehditleri azaltmak için bu kusurları ele almalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.