Yeni araştırmalar binlerce PoC’nin tehlikeli olabileceğini gösteriyor
Araştırmacılar, kötü amaçlı kavram kanıtlarının (PoC’ler) GitHub kullanıcılarını kötü amaçlı yazılımlara ve diğer suistimallere maruz bırakma potansiyeline sahip olduğunu buldu.
Hollanda’daki Leiden Üniversitesi’nden araştırmacılar, ‘Güvenlik uzmanlarına nasıl saldırılıyor: GitHub’da kötü niyetli CVE kanıtı açıkları’ başlıklı bir makalede, yakın zamanda bilinen güvenlik açıkları için binlerce PoC’nin faturalanandan fazlasını yapan tehlikeli öğeler içerdiğini ayrıntılı olarak açıkladılar.
Zararsız bir operasyon gerçekleştirmek yerine, bu açıklar potansiyel saldırılara kapı açabilir.
Nitel ve nicel
Soufian El Yadmani, Robin The ve Olga Gadyatskaya adlı ekip, 2017 ile 2021 arasında keşfedilen CVE’ler için GitHub’da paylaşılan herkese açık PoC’leri topladı.
Toplamda, “kötü niyetli PoC’lerin ilk büyük ölçekli nitel ve nicel araştırması” olarak adlandırdıkları, hedef dönemden en az bir CVE için PoC içeren 47.313 depo üzerinde çalıştılar.
İndirip kontrol ettikleri 47.313 GitHub deposundan 4.893’ünün (%10.3) kötü niyetli olduğunu buldular.
En son web güvenliği araştırmaları hakkında daha fazla bilgi edinin
El Yadmani, “Araştırmamızın amacı, CVE açıkları için sahte ve kötü niyetli PoC’lerin sorununun ne kadar büyük olduğunu araştırmaktı, çünkü bunun daha önce hiç kimse tarafından ele alınmamış bir sorun olduğunu anlıyoruz.” Günlük Swig.
“Darktrace’de araştırmacı ve kıdemli güvenlik araştırmacısı olarak, diğer araştırmacılar tarafından paylaşılan bilgiler bizimle aynı dili, yani programlamayı konuştuğundan, bu tür PoC’ler için GitHub ve Exploit-DB gibi kaynaklara güveniyoruz.
“Yaklaşık bir yıl önce Twitter’da kötü niyetli PoC’ler konusunun giderek daha fazla konuşulduğunu fark ettim, ancak bu yalnızca belirli vakalarla ilgiliydi ve sorunun gerçekte ne kadar büyük olduğu net değildi.
“Kaç PoC’nin kötü niyetli olduğuna dair net bir gösterge olmadığından, sorunu kendimiz araştırmayı seçtik.”
Etkileyici çeşitlilik
El Yadmani anlattı Günlük Swig en ilginç bulgunun, ekibin karşılaştığı sahte ve kötü niyetli PoC’lerdeki çeşitlilik olduğunu söyledi.
“Bazılarında saldırganlar kullanıcıların makinelerine kötü amaçlı yazılım yerleştirmeye çalışırken, diğerlerinde örneğin CobaltStrike kullanarak arka kapıları açmaya çalıştılar” dedi.
“Şaşırtıcı olan şu ki, bazı durumlarda memler içeren sahte ve zararsız PoC’ler bulduk; en ilginç bulgu, bu insanların bazılarının kendi PoC’lerine çok fazla zaman harcadıkları ve tek amaçlarının, diğer insanların PoC’lerine körü körüne nasıl güvenmemeleri gerektiği konusunda toplumu eğitmek olduğuydu.”
Darbe yarıçapı
Araştırma makalesi (PDF), sunuculara yapılan kötü amaçlı çağrılar için kaynak kodunu analiz ederek ve ayrıca kötü niyetli talimatlar içeren “bilgi sızdırma, indirme olabilir” olan onaltılık yükleri ve Base64 kodlu komut dosyalarını ayıklayarak kötü niyetli PoC’leri tespit etmeye yönelik öneriler sunmaya devam ediyor. internetten veya bir arka kapı içeren kötü amaçlı dosyalar”.
“Bu sorunu göz ardı etmek, kendinize bulaşmanıza kadar değişen hasarlara neden olabilir. [a] kullanıcı, şirketinize ve muhtemelen müşterilerinize de bulaşmak için, eğer daha karmaşık bir saldırıysa,” diye uyardı El Yadmani.
“Kalem testçileri ve geliştiriciler, kodu çalıştırmadan önce her zaman okumalıdır, ancak CVE PoC’lerde bazı durumlarda yanıltıcı ve zorlayıcı olabilir.
“Bu yüzden yardımcı olan bir yaklaşım sunmak istedik. [with] PoC’lerde şüpheli davranışları otomatik olarak tespit eder. Ayrıca, kötü amaçlı PoC’leri işaretlemeye yardımcı olabilecek otomatik çözümler önermek için daha fazla zaman harcamak istiyoruz.
“Araştırmamız aynı zamanda akademideki veya dünyadaki diğer araştırmacılara da bir davettir. [the] sektörüne, bu soruna çözüm üretmeye daha fazla zaman ayırmayı hedefliyoruz.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Abartılı OpenSSL güvenlik açığı ‘yüksek’ önem düzeyine düşürüldü