2022 ve 2023 yılları arasında eski güvenlik sorunlarına karşı savunmasız olan kötü korunmuş cihazları tehlikeye atma girişimlerinde artan hacker etkinliği gözlenmiştir.
Tehdit İzleme Platformu Greynoise, Dosya Paylaşımı ve Senkronizasyonu için ThinkphP çerçevesini ve açık kaynaklı Owncloud çözümünü etkileyen CVE-2022-47945 ve CVE-2023-49103’ten yararlanan aktörlerde ani artışlar bildiriyor.
Her iki güvenlik açığı da kritik bir ciddiyete sahiptir ve keyfi işletim sistemi komutlarını yürütmek veya hassas veriler (örneğin Yönetici Şifre, Posta Sunucusu Kimlik Bilgileri, Lisans Anahtarı) elde etmek için kullanılabilir.
İlk güvenlik açığı, 6.0.14’ten önce Thinkphp Framework’ün dil parametresindeki yerel bir dosya dahil etme (LFI) sorunudur. Kimlik doğrulanmamış bir uzaktan saldırgan, dil paketi özelliğinin etkinleştirildiği dağıtımlarda keyfi işletim sistemi komutlarını yürütmek için bundan yararlanabilir.
Akamai geçen yaz Çin tehdit aktörlerinin Ekim 2023’ten bu yana dar kapsam operasyonlarında kusurdan yararlandığını bildirdi.
Tehdit izleme platformuna göre Geynoise’e göre, CVE-2022-47945 şu anda yüksek hacimli sömürü altında, artan sayıda kaynak IPS’den saldırılar başlatıldı.
Bülten, “Greynoise, son günlerde aktivite artarak bu güvenlik açığından yararlanmaya çalışan 572 benzersiz IP’nin gözlemledi.”
Bu,% 7’lik düşük istismar tahmin puanlama sistemi (EPSS) derecesine ve CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna dahil edilmemesine rağmen.
Kaynak: Geynoise
İkinci güvenlik açığı, popüler açık kaynaklı dosya paylaşım yazılımını etkiler ve uygulamanın bir URL aracılığıyla PHP çevre ayrıntılarını ortaya çıkaran üçüncü taraf bir kütüphaneye bağımlılığından kaynaklanır.
Güvenlik açığının Kasım 2023’teki geliştiricilerden ilk açıklamasından kısa bir süre sonra, bilgisayar korsanları, Patched Systems’tan hassas bilgileri çalmak için kullanmaya başladı.
Bir yıl sonra, CVE-2023-49103, 2023’ün en çok sömürülen 15 güvenlik açıkları arasında FBI, CISA ve NSA tarafından listelendi.
Satıcı güvenlik sorunu ele alan bir güncelleme yayınlamasından bu yana 2 yıldan fazla geçmesine rağmen, birçok örnek açılmamış ve saldırılara maruz kalıyor.
Grinnoise, son zamanlarda CVE-2023-49103’ün 484 benzersiz IP’den kaynaklanan kötü niyetli aktivite ile artmış kullanımı gözlemledi.
Kaynak: Geynoise
Sistemleri aktif sömürüye karşı korumak için kullanıcılara Thinkphp 6.0.14 veya üstüne ve Owncloud Graphapi’ye 0.3.1 ve daha yeni bir yükseltme yapmaları tavsiye edilir.
Ayrıca, potansiyel olarak savunmasız örneklerin çevrimdışı alınması veya saldırı yüzeyini azaltmak için bir güvenlik duvarının arkasına yerleştirilmesi önerilir.