Yönetişim ve Risk Yönetimi, Yama Yönetimi
Hata Yol Geçişi Saldırısını Etkinleştiriyor
Sayın Mihir (MihirBagwe) •
14 Aralık 2023
Kötü amaçlı etkinlikleri izleyen Shadowserver Vakfı Çarşamba günü saptanmış Sınırlı sayıda IP adresiyle yararlanma girişimlerinde bulunulan başlangıç etkinliği.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Avustralya Sinyal Müdürlüğü Perşembe günü yayınlanan bir güvenlik tavsiyesinde de benzer şekilde “istismar girişimlerinin dünya çapında gözlemlendiği” konusunda uyardı. Fransa’nın Bilgisayar Acil Durum Müdahale Ekibi, istismar girişimlerinden haberdar olduğunu belirten benzer bir uyarı yayınladı.
Struts kütüphanesini yöneten Apache Vakfı, 7 Aralık’ta geliştiricilere yol geçiş saldırısına olanak tanıyan, yani bir saldırganın erişmemesi gereken bir web sunucusundaki diğer dizinlere erişimi mümkün kılan bir kusuru çözmek için bir yama uygulamaya çağırdı. ve bazı durumlarda uzaktan kod yürütmek için kötü amaçlı bir dosya yükleme yeteneği. Kusur CVE-2023-50164 olarak izleniyor ve 10 üzerinden 9,8 CVSS puanı taşıyor.
Apache Struts, Java EE web uygulamaları geliştirmeye yönelik açık kaynaklı bir çerçevedir. Dünya çapında birçok Fortune 100 şirketi ve devlet kuruluşu bunu kullanıyor. 2017’de Çinli devlet korsanlarının ABD kredi raporlama kurumu Equifax’a erişim sağlamak için kullandığı ve neredeyse her yetişkin Amerikalıyı etkileyen bir veri ihlaline yol açan yazılım nedeniyle orantısız bir üne kavuştu. Equifax, çevrimiçi çerçevedeki kritik bir kusurun, Apache Vakfı tarafından açıklandıktan sonra aylarca yamasız kalmasına izin verdi.
Siber tehdit istihbarat firması Akamai de bu yeni kusurdan yararlanma girişimlerini kaydetti. Akamai, “Saldırganlar, bazı durumlarda ‘fileFileName’ parametresini hedef alarak web kabukları dağıtmayı hedefliyor; bu, orijinal istismar PoC’sinden bir sapmadır.” söz konusu.
Uzmanlar, bu güvenlik kusurunun istismar edilmesinin, saldırganın hassas dosyaları değiştirmesine, veri hırsızlığına, hizmet kesintisine ve hatta ağ içinde yanal hareketlere yol açabileceğini söyledi.
Siber güvenlik firması Praetorian, CVE-2023-50164’ün kullanılmasının Apache Struts kullanan uygulamanın davranışına ve uygulanmasına bağlı çeşitli ön koşulları içerdiğini söyledi. Firma, “Bir saldırganın bu güvenlik açığını geniş ölçekte taraması ve bu güvenlik açığından yararlanması çok zor olacak” diye yazdı.
Güvenlik araştırmacısı Jakab Ákos, tehdit aktörlerinin saldırılarda dosya yükleme parametrelerini nasıl değiştirebileceğini açıklayan teknik bir blog yayınladı. Bunu, yararlanma kodunu içeren başka bir teknik analiz izledi. Apache’nin hata bulgusunu kendisine atfettiği Source Incite’den Steven Seeley, isminde bu bir “doğru analiz”dir.
Amerikalı veri yönetimi firması Veritas ve ağ devi Cisco, Apache Struts kullanan ürünleri üzerindeki etkiyi değerlendirmek için şu anda CVE-2023-50164’ü araştırıyor. Veritas araştırdığı 24 ürünü listeledi ve Cisco şu anda araştırılmakta olan 20’den fazla ürünü listeledi.