Kötü niyetli bir aktör, kodu indiren kullanıcılara VenomRAT kötü amaçlı yazılımını bulaştırmak amacıyla GitHub’da yakın zamanda açıklanan bir WinRAR güvenlik açığı için sahte bir kavram kanıtı (PoC) istismarı yayınladı.
Palo Alto Networks Birim 42 araştırmacısı Robert Falcone, “Bu WinRAR güvenlik açığından yararlanmayı amaçlayan sahte PoC, GeoServer adlı bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlanan ve CVE-2023-25157 olarak izlenen, halka açık bir PoC komut dosyasına dayanıyordu” dedi. .
Sahte PoC’ler araştırma topluluğunu hedef almak için iyi belgelenmiş bir kumar haline gelmiş olsa da siber güvenlik firması, tehdit aktörlerinin fırsatçı bir şekilde en son güvenlik açıklarını cephaneliklerine benimseyen diğer dolandırıcıları hedef aldığından şüpheleniyordu.
Depoyu barındıran GitHub hesabıwalkersplonk’a artık erişilemiyor. PoC’nin, güvenlik açığının kamuya duyurulmasından dört gün sonra, 21 Ağustos 2023’te gerçekleştirildiği söyleniyor.
CVE-2023-40477, Windows sistemlerinde uzaktan kod yürütme (RCE) sağlamak için WinRAR yardımcı programında kullanılabilecek uygunsuz bir doğrulama sorunuyla ilgilidir. Geçen ay WinRAR 6.23 sürümünün bakımcıları tarafından, CVE-2023-38831 olarak takip edilen ve aktif olarak yararlanılan başka bir kusurla birlikte ele alındı.
Deponun analizi, bir Python betiğini ve istismarın nasıl kullanılacağını gösteren bir Akışlı videoyu ortaya koyuyor. Video toplamda 121 kez izlendi.
Python betiği, PoC’yi çalıştırmak yerine uzak bir sunucuya ulaşır (checkblacklistwords)[.]eu) Venom RAT’ın bir çeşidi olan Windows.Gaming.Preview.exe adlı yürütülebilir dosyayı getirmek için. Çalışan işlemleri listeleme ve aktör kontrollü bir sunucudan komut alma yetenekleriyle birlikte gelir (94.156.253)[.]109).
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Saldırı altyapısının daha yakından incelenmesi, tehdit aktörünün kara liste kelimelerini oluşturduğunu gösteriyor[.]Kusurun kamuya açıklanmasından en az 10 gün önce eu etki alanından yararlanıldı ve ardından potansiyel mağdurların ilgisini çekmek için hatanın kritikliği hızla ele alındı.
Falcone, “Bilinmeyen bir tehdit aktörü, güvenlik açığının kamuya duyurulmasının ardından, iyi bilinen bir uygulamadaki RCE güvenlik açığından yararlanmak için sahte bir PoC yayınlayarak bireyleri tehlikeye atmaya çalıştı” dedi.
“Bu PoC sahtedir ve WinRAR güvenlik açığından faydalanmamaktadır, bu da aktörün WinRAR’da çok aranan bir RCE’den yararlanarak diğerlerini tehlikeye atmaya çalıştığını düşündürmektedir.”