CISA bu hafta ABD federal bir sivil ajansında gerçek dünya ihlali için nadir bir pencere sundu. Ajans, yama, çıkmaz olay müdahale planları ve EDR uyarılarının yetersiz izlenmesindeki gecikmeler, saldırıya izin veren üç kritik boşluk olduğunu söyledi.
CISA, olayın, Temmuz 2024’ün başlarında ortaya çıktığında uç nokta tespit ve yanıt (EDR) uyarıları ortaya çıktığında başladığını, ancak sadece bir ay sonra Ağustos ayında gözlemlendiğini söyledi. Adli analiz sırasında ajans, aktörlerin ilk olarak Geoserver’ı etkileyen bir uzaktan kod yürütme kırılganlığı olan CVE-2024-36401’den yararlanarak erişim kazandığını belirledi.
Teknik olarak Geoserver’ın XPath ifadelerini ele alma biçiminden kaynaklanan bir XPath ifadesi enjeksiyon güvenlik açığıdır. Özellikle, Geoserver Geotools Kütüphanesi API’sı ile etkileşime girdiğinde, öğe türü öznitelik adlarını Commons-JxPath kütüphanesine güvensiz olarak geçirir. Bu geliştirici, kötü niyetli aktörlerin etkilenen sunucuda keyfi kod yürütebilecek hazırlanmış XPath ifadeleri enjekte etmesine izin verdi.
Ayrıca okuyun: Geoserver ve Geotools adresi XPath İfade Enjeksiyon Güvenlik Açıkları
İhlal, tespitten üç hafta boyunca uzandı, bu sırada saldırganlar sistemler arasında döndü, web mermileri ve kaldıraçlı yaşam araçlarını kaldırdı.
11 Temmuz 2024’te rakipler ilk Geoserver’ı kullandı ve 24 Temmuz’a kadar ikinci bir geoserver’i ihlal etmek için aynı kusuru kullandı. Daha sonra Web altyapısından SQL sunucularına yanal olarak taşındılar. Her ortamda, web kabuklarını (örneğin China Chopper) bıraktılar, kalıcılık ve ayrıcalık yükseltme için özel komut dosyaları yüklediler ve şifreli proxy kanalları oluşturmak için STOWAWAY gibi araçları kullandılar.
Taktikleri, kalıcılık için cron işleri, geçerli hesapların kötüye kullanılması ve kamuya dönük sunucularda korumaların devre dışı bırakılması veya atlanmasını içeriyordu. Bazı durumlarda, uç nokta koruması tamamen yoktu. Keşifleri, fscanping süpürmeleri ve ev sahibi ve hizmetlerin iç numaralandırması.
CISA ayrıca saldırganın Tradecraft’ı MITER ATT & CK çerçevesiyle eşledi. Yayımdan yararlanan uygulamalar (T1190), komut ve komut dosyası (PowerShell, T1059), proxy (stowaway, T1090), web kabukları ve bit işleri (T1202, T1197) ve yanal hareket için kaba kuvvet kimlik bilgisi saldırıları (T1110) gibi teknikleri kullandılar.
Ajansın soruşturması ayrıca bu kampanyayı kümülatif olarak mümkün kılan üç başarısızlık ortaya koydu. İlk olarak, ajans bilinen güvenlik açıklarını geciktirdi. CVE-2024-36401, ilk sömürüden 11 gün önce ve ikincisinden 25 gün önce kamuya açıklanmıştır.
İkincisi, ajansın olay müdahale planı (IRP) test edilmedi, üçüncü taraf işbirliği için protokollerden yoksundu ve harici araçların hızlı bir şekilde konuşlandırılmasını engelledi. Bu gecikme CISA’nın verimli bir şekilde yanıt verebilme yeteneğini etkiledi.
Üçüncüsü ve belki de en önemli EDR uyarıları aktif olarak gözden geçirilmedi ve önemli sistemler uç nokta savunmalarından yoksundu. Tehdit aktörleri üç hafta boyunca tespit edilmedi çünkü ilk Geoserver’daki uyarılar fark edilmedi ve web sunucusunun uç nokta kapsamı yoktu.
CISA danışmanında kuruluşlardan üç alanı etkili bir şekilde güçlendirmelerini istedi: önleme, hazırlama, tespit/yanıt. Önleme altında, halka açık sistemlerin agresif bir yamasını önerirler-özellikle CISA’nın KEV (bilinen sömürülen güvenlik açıkları) kataloğunda bilinen sömürülen güvenlik açıkları. Hazırlık altında, ajans IRP’leri korumaya ve düzenli olarak kullanmaya ve saha dışında günlükleri toplayan sağlam günlük sistemleri oluşturmaya çağırıyor. Tespit/yanıt altında CISA, uyarıların sürekli gözden geçirilmesi, kamuya dönük tüm sistemlerde uç nokta korumalarının dağıtılması ve davranışlara dayalı anomali tespiti uygulamak için çağrılır.
Bu danışma kamuoyunu yaparak CISA, sadece bir ajansın zayıflığını değil, aynı zamanda birçok kuruluşun karşılaştığı sistemik riskleri etkili bir şekilde ortaya koydu; Yama yönetiminde gönül rahatlığı, kırılgan olay planlaması ve güvenlik operasyonlarında aşırı yükleme veya kör noktalar.