Yönetişim ve Risk Yönetimi, Yama Yönetimi
Botnet, Savunmasız Dahili Ağ Makinelerini Arıyor
Prajeet Nair (@prajeetspeaks) •
2 Şubat 2024
Log4Shell güvenlik açığının yaygın olduğuna dair daha fazla kanıt sunan Akamai araştırmacıları, botnet kötü amaçlı yazılımlarının, bu kusuru bir enfeksiyon vektörü olarak kullanacak şekilde güncellendiğini ve olağan uzaktan oturum açma kaba kuvvet tekniğini desteklediğini tespit etti.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Akamai Güvenlik İstihbarat Grubu, ilk olarak 2020’de belgelenen FritzFrog botnetindeki değişimi gözlemledi.
CVE-2021-44228 olarak takip edilen Log4Shell, 2021’in sonlarında güvenlik araştırmacılarının her yerde bulunan Apache Log4J 2 Java kitaplığında bir kusur tespit etmesiyle kamuoyunun farkındalığına ulaştı. 2022 ortalarında ABD kamu ve özel sektör güvenlik uzmanlarından oluşan bir panel, savunmasız her Log4j örneğine yama uygulanmasının muhtemelen on yıl “veya daha uzun” süreceği konusunda uyardı (bkz.: Siber Güvenlik İnceleme Kurulu, Log4j Kusurunun ‘Endemik’ Olduğunu Söyledi).
FritzFrog operatörleri, kötü amaçlı yazılımlarını yaymak için sistem yöneticilerinin dahili ağ makinelerini yamalamaya daha düşük öncelik vermesinden yararlanıyor. İnternete yönelik uygulamalar yamalama için bariz bir önceliktir. Ancak araştırmacılar, yama yapılmamış dahili makinelerin hala risk taşıyabileceğini söyledi. FritzFrog alt ağları arar ve bunların içindeki olası adresleri hedefler.
“Bu, ‘yüksek profilli’ internete yönelik uygulamalara yama uygulanmış olsa bile, ağdaki herhangi bir varlığın FritzFrog tarafından ihlalinin, yama yapılmamış dahili varlıkların istismara açık hale gelebileceği anlamına geliyor” dediler.
Log4Shell güvenlik açığını tetiklemek için FritzFrog, bir uygulamayı kötü amaçlı bir yük içeren verileri günlüğe kaydetmeye zorlar. Yük, Java uygulamasını saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya ve kötü amaçlı yazılım ikili dosyasını indirmeye zorlar.
2022’de araştırmacılar, dünya çapında SSH sunucularına yayılmak için özel bir eşler arası protokol kullanması nedeniyle FritzFrog’u “yeni nesil” bir botnet olarak adlandırdı.
Akamai, SSH sunucularına bulaşmak için hala kaba kuvvet tekniklerini kullandığını ancak artık “kurbanlarının her birine ilişkin çeşitli sistem kayıtlarını numaralandırarak belirli SSH hedeflerini belirlemeye çalışacağını” söyledi.