Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sunuculara ilk erişim elde etmek amacıyla Adobe Coldfusion’daki bir güvenlik açığını kullanan siber suçlular hakkında devlet kurumlarını uyarmak için bir Siber Güvenlik Tavsiyesi (CSA) yayınladı.
Adobe ColdFusion, web uygulamaları ve mobil uygulamalar oluşturmaya ve dağıtmaya yönelik bir platformdur. Genellikle internete bakan sunucularda bulunabilir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. İstismar edilen güvenlik açığı CVE-2023-26360 olarak listeleniyor ve Adobe ColdFusion’ın 2018 Güncelleme 15 (ve öncesi) ve 2021 Güncelleme 5 (ve öncesi) sürümlerini etkiliyor. Güvenlik açığı, geçerli kullanıcı bağlamında rastgele kod yürütülmesine neden olabilecek bir Uygunsuz Erişim Denetimi güvenlik açığıdır. Bu sorunun kullanılması kullanıcı etkileşimi gerektirmez.
Bu güvenlik açığına yönelik bir yama 14 Mart 2023’ten bu yana mevcut. O dönemde bildirdiğimiz gibi Adobe, CVE-2023-26360’ın çok sınırlı saldırılarda vahşi ortamda istismar edildiğinin farkında olduğunu belirtmişti.
CISA tarafından belirlenen güvenlik açığına yama uygulanması için son tarih 5 Nisan 2023’tü. Sorun, güvenlik açığının aynı zamanda kullanım ömrünün sonuna (EOL) ulaşan ve artık güvenlik yamalarıyla desteklenmeyen ColdFusion 2016 ve ColdFusion 11 kurulumlarını da etkilemesidir. .
CSA’ya göre CISA, bu güvenlik açığının iki Federal Sivil Yürütme Organına (FCEB) yönelik saldırılarda kullanıldığını doğruladı. Ağ günlüklerinin analizi, Haziran ve Temmuz 2023 arasında kurumların ortamlarında halka açık en az iki sunucunun güvenliğinin ihlal edildiğini doğruladığı bildirildi. Her iki sunucu da, yazılımın çeşitli yamalanmamış kusurlar nedeniyle savunmasız olan eski sürümlerini çalıştırıyordu.
Soruşturmada bunun bir keşif saldırısı olduğu ve ağda veri hırsızlığı veya yanal hareket olduğuna dair herhangi bir kanıt bulunmadığı öğrenildi. İlk erişimden sonra suçlular, web sunucusunda halihazırda çalışan işlemleri elde etmek için işlem sayımına başladı ve muhtemelen bağlantılarının başarılı olduğunu doğrulamak için bir ağ bağlantı kontrolü gerçekleştirdi.
CSA’da CISA, iki saldırıda kullanılan çeşitli uzlaşma göstergelerini (IOC’ler) ve taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaşıyor. Bunların aynı tehdit aktörü tarafından yapılıp yapılmadığı belli değil.
Azaltma
CISA aşağıdaki kuruluşları tavsiye eder:
- Bu güvenlik açığından etkilenen tüm sürümleri yükseltin.
- İnternete açık sistemlerdeki güvenlik açıklarının giderilmesine öncelik verin.
- Varsayılan parolaların ortadan kaldırılması ve modern açık standartlar aracılığıyla tek oturum açma (SSO) teknolojisinin uygulanması gibi varsayılan olarak güvenli yapılandırmalara öncelik verin.
- İnternete bakan sunucuları önemli veya hassas bilgiler içeren sistemlerden ayırmak için uygun ağ bölümlendirmesini kullanın.
- Uygunsuz şekilde oluşturulmuş trafiği engellemek ve içeriği kısıtlamak için uygulamaya duyarlı ağ savunmalarını devreye alın.
Ve tehdide daha az özel olan diğer birçok güvenlik önlemi.
Bizim açımızdan şunu eklemek istiyoruz:
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri alma tekniği kullanan ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.