Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bilinmeyen saldırganların devlet sunucularına erişmek için Adobe ColdFusion uygulama geliştirme platformundaki kritik bir güvenlik açığından (CVE-2023-26360) yararlandığını paylaştı.
İstismar edilen güvenlik açığı hakkında
CVE-2023-26360, rastgele kod yürütülmesine yol açabilecek güvenilmeyen veri güvenlik açığının seri durumdan çıkarılmasıdır.
Adobe, kusuru Mart 2023’ün ortasında açıklayıp düzeltti ve “CVE-2023-26360’ın çok sınırlı saldırılarda vahşi ortamda kullanıldığının farkında olduğunu” söyledi.
CVE-2023-26360, Adobe ColdFusion 2021, 2018, 2016 ve 11 sürümlerini etkiledi, ancak ColdFusion 2016 ve 11 daha önce (ürün) yaşam döngüsünün sonuna ulaştığından Adobe yalnızca ilk ikisi için yamalar sağladı.
CISA, güvenlik açığını ertesi gün Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve düzeltmenin uygulanması için son tarihi 5 Nisan olarak belirledi.
(Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında, tüm FCEB kurumlarının KEV kataloğundaki güvenlik açıklarını öngörülen zaman dilimleri içerisinde düzeltmesi gerekmektedir.)
Olaylar
CISA, CVE-2023-26360’ın bilinmeyen saldırganlar tarafından Haziran ve Temmuz 2023 arasında bir Federal Sivil Yürütme Şubesi (FCEB) kurumunu hedeflemek için kullanıldığını ortaya çıkardı.
Saldırganlar, iki ayrı saldırıda, eski yazılım sürümlerini çalıştıran, halka açık en az iki sunucunun güvenliğini aşmayı başardılar; biri Adobe ColdFusion v2021.0.0.2 ve diğeri v2016.0.0.3 çalıştırıyordu.
Haziran ayı başındaki ilk saldırıda saldırganlar birçok keşif eylemi gerçekleştirdi: Etki alanı güvenlerini sıraladılar, yerel ve etki alanı yöneticisi kullanıcı hesapları ve ağ yapılandırması hakkında bilgi topladılar.
Ayrıca bir uzaktan erişim truva atı (RAT) attılar ve Kayıt Defteri dosyalarını ve güvenlik hesap yöneticisi (SAM) bilgilerini sızdırmayı denediler (ancak başarısız oldular).
“SAM Kayıt Defteri dosyası, kötü niyetli aktörlerin kullanıcı adlarını ele geçirmesine ve şifreleri tersine mühendislik yapmasına olanak tanıyabilir; ancak tehdit aktörlerinin SAM Kayıt Defteri kovanından sızmayı başardığını doğrulayacak hiçbir bulgu mevcut değildi.” diye açıkladı kurum.
26 Haziran 2023’te saldırganlar, Adobe ColdFusion çalıştıran, halka açık başka bir web sunucusuna erişti ve yeniden keşif gerçekleştirdi: çalışan işlemleri sıraladılar, ağ bağlantısını kontrol ettiler, web sunucusu ve işletim sistemi hakkında bilgi topladılar ve ColdFusion’ın varlığını kontrol ettiler. 2018 ve 2016 versiyonları.
Web sunucusuna çeşitli dosyalar yüklediler ve kullanıcı adını, şifreyi ve veri kaynağı URL’lerini çıkarmayı amaçlayan kodu çalıştırmaya çalıştılar.
“Tehdit aktörleri, coldfusion.exe başlatma işlemini kullanarak C:\IBM dizininde çeşitli dosyalar oluşturdu. Bu dosyaların hiçbiri sunucuda bulunmuyor (muhtemelen tehdit aktörünün silinmesi nedeniyle) ancak olası tehdit aktörü araçları olarak değerlendiriliyor. Analistler, C:\IBM dizinini, tehdit aktörlerinin kötü niyetli operasyonlarını destekleyecek bir hazırlık klasörü olarak değerlendirdi” diye ekledi.
Her iki olay da tespit edildi ve engellendi ve veri sızıntısı veya yanal hareket olduğuna dair hiçbir kanıt yok. CISA, her olayın arkasında aynı veya farklı tehdit aktörlerinin olup olmadığını bilmediklerini söylüyor.
Güvenlik danışmanlığı, kurumsal savunucular için risk göstergeleri (IoC’ler), taktikler, teknikler ve prosedürler (TTP’ler) ve tespit ve koruma yöntemlerinin yanı sıra risk azaltma önerileri sağlar.