Kötü şöhretli CL0P fidye yazılımı grubu tarafından kullanılan Python tabanlı veri açma yardımcı programında yeni açıklanan bir güvenlik açığı, siber suç işlemini kendisi potansiyel saldırıya maruz bırakmıştır.
GCVE-1-2025-0002 olarak kataloglanan kusur, İtalyan güvenlik araştırmacısı Lorenzo N tarafından tanımlandı ve Bilgisayar Olay Müdahale Merkezi Lüksemburg (Circl) tarafından 1 Temmuz 2025’te yayınlandı.
Güvenlik Açığı Detayları
CVSS 4.0 ölçeğinde 8.9 (yüksek) olarak derecelendirilen güvenlik açığı, klasik bir yanlış giriş validasyonu (CWE-20) vakasıdır.
| CVE kimliği | GCVE-1-2025-0002 |
| Güvenlik açığı | Yanlış giriş doğrulaması |
| CWE | CWE-20 |
| Şiddet | 8.9 (Yüksek) |
CL0P’nin yüksek profilli 2023-2024 MOVEIT kampanyaları sırasında yaygın olarak konuşlandırılan etkilenen yardımcı program, herhangi bir giriş dezenfekte olmadan saldırgan tarafından sağlanan dizeleri doğrudan birleştirerek işletme sistemi komutlarını oluşturur.
Özellikle, CL0P operatörlerinin evreleme veya toplama ana bilgisayarında kimlik doğrulamalı bir uç nokta, uzlaşmış makinelerden alınan dosyayı veya dizin adlarını doğrudan bir kabuk-espape dizisine geçer.
Bu tasarım kusuru bir Uzaktan Komut Yürütme (RCE) Risk oluşturur: Defiltrasyon aracı tarafından kötü niyetli bir şekilde hazırlanmış bir klasör veya dosya adı işlenirse, CL0P’nin kendi altyapısında keyfi komutlar yürütülebilir.
Circl’in özet durumları, “CL0P operatörlerinin evreleme/toplama ana bilgisayarında kimlik doğrulamalı bir uç nokta, uzatılmış makinelerden alınan dosya veya dizin adlarını doğrudan kabuk-escape dizisine aktarıyor”.
İronik bir şekilde, kırılganlık, kurbanlardan gelen bilgileri sifonlamak için tasarlanmış aracı kullanarak grubun operasyonlarını bozmak veya verilerini çalmak için CL0P’nin rakipleri veya diğer saldırganlar tarafından kullanılabilir.
Güvenlik uzmanları, kötü amaçlı yazılım yazarlarından hiçbir resmi yama veya işbirliğinin beklenmediğini ve grubun altyapısını potansiyel karşı saldırılara maruz bıraktığını belirtiyor.
CIRCL başkanı Alexandre Dulaunoy, CL0P ekibinin kusuru ele alma olasılığının düşük olduğunu söyledi.
Bu, CL0P’nin arka ucunu sabote etmek veya sızmak isteyebilecek tehdit aktörleri tarafından hizmet olarak fidye yazılımı (RAAS) operasyonunu sömürüye karşı savunmasız bırakır.
CL0P’nin Saldırı Zinciri ve Moveit Kampanyaları
TA505 olarak da bilinen CL0P, kitle veri hırsızlığı için sık sık sıfır gün güvenlik açıklarından yararlanan en zararlı fidye yazılımı gruplarından biri olarak ün kazanmıştır.
2023-2024 MOVEIT transfer saldırılarında CL0P, yüzlerce kuruluştan ödün vermek için bilinmeyen bir SQL enjeksiyon kusurundan yararlandı ve fidye talep etmeden önce hassas verileri ortaya çıkardı.
Tipik olarak, CL0P’nin saldırı zinciri şunları içerir:
- Kimlik avı veya yazılım kusurlarının kullanımı yoluyla ilk erişim
- Mimikatz ve Cobalt Strike gibi araçları kullanarak yanal hareket ve kaçış
- Özel yardımcı programlarla veri açığa çıkması (şimdi uymayan Python aracı gibi)
- Veri sızıntıları, DDO’lar veya taciz tehditleri yoluyla gasp
CL0P’nin geliştiricilerinden bir düzeltme beklentisi olmadan, kırılganlık, operatörlerini kurbanlara dayattıkları risklere maruz bırakan siber suçlu bir aracın nadir bir örneği olmaya devam etmektedir.
Güvenlik uzmanları, bu kusurun fidye yazılımı operasyonlarını cezai ekosistemin kendisinden ayırmak için yeni bir vektör olabileceğini öne sürüyor.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt