Varonis, saldırganların Azure’un Azure’un HPC/AI iş yüklerini etkileyen AZNFS montaj yardımcı programında kritik bir kök erişim kırılganlığının yanı sıra, yöneticileri kötü amaçlı yazılımları indirmek için kandırmak için SEO zehirlenmesini kullandıklarını ortaya koyuyor. Azure hemen güncelleyin.
Varonis’teki siber güvenlik araştırmacıları, BT yöneticilerini ve bulut altyapısını hedefleyen iki farklı ancak önemli tehdit konusunda uyarılar yayınladılar. Varonis tarafından 2 Mayıs 2025’te yayınlanan bir blog yazısında belirtildiği gibi, son iki ay içinde ortaya çıkan, yöneticileri meşru araçlar olarak gizlenmiş kötü amaçlı yazılımları indirmek için kandırmak için SEO zehirlenmesini kullanan saldırganların artan bir eğilimi gözleniyor.
Ayrı olarak, 6 Mayıs’ta, şirketin tehdit laboratuvarları, ön plana çıkmış bir Azure yardımcı programında, olgunlaşmamış kullanıcıların bulut sistemlerine tam kök erişimi kazanmasına izin verebilecek kritik bir güvenlik açığı bildirdi.
SEO zehirlenme kampanyası, ortak BT yönetim araçları için kötü amaçlı web sitelerini sonuçların en üstüne yerleştirmek için arama motoru sıralamalarını manipüle eden siber suçluları içerir. Şüphesiz yöneticiler, gerçek yazılım indirdiklerine inanarak, Smokedham gibi backdoorların kurulumuna yol açabilecek ve saldırganlar için kalıcı erişim sağlayabilecek kötü amaçlı yazılım yükleyin.
Varonis MDR adli tıp ekip üyeleri Tom Barnea ve Simon Biggs, bu tekniğin Kickidler (grabber.exe), saldırganların enfekte makineleri gizlice gözlemlemesine ve kimlik bilgilerini çalmasına izin verir.
Bu ilk erişim, saldırganların ağdan neredeyse terabayt bir veri aktardığı bir örnekte görüldüğü gibi, veri açığa çıkma yolunu açar, ardından müşterinin ESXI cihazları gibi kritik sistemlerin fidye için şifrelemesi.
Araştırmacı Tal Peleg liderliğindeki ayrı fakat eşit derecede ilgili bir keşifte, Azure yüksek performanslı bilgi işlem (HPC) ve yapay zeka (AI) görüntülerine önceden yüklenen bir araç olan AZNFS-Mount Fayda’da kritik bir kusur belirledi. 2.0.10’a kadar olan tüm sürümleri etkileyen bu güvenlik açığı, sıradan bir kullanıcının ayrıcalıklarını bir Linux makinesine kök salması için artırmasına izin verebilir.
Hackread.com ile paylaşılan Veronis’in araştırmasına göre, kusur “mount.aznfs“Yanlış izinler nedeniyle, en yüksek sistem ayrıcalıklarına sahip keyfi komutlar yürütmek için kullanılabilen ikili, belirli bir ortam değişkenini manipüle ederek, saldırganlar etkilenen Azure sistemlerini etkili bir şekilde kontrol edebilir.
Varonis Tehdit Laboratuarları, onu düşük bir ciddiyet olarak sınıflandıran Microsoft Azure’a karşı bu güvenlik açığını sorumlu bir şekilde açıkladı. Bununla birlikte, bulut altyapısına kök erişimi kazanmanın potansiyel etkisi önemlidir, çünkü saldırganların ek depolama alanı monte etmesine, kötü amaçlı yazılımları kurmasına ve bulut ortamlarına yanal olarak hareket etmesine izin verebilir. Microsoft o zamandan beri AZNFS-Mount yardımcı programının 2.0.11 sürümünde bir düzeltme yayınladı.
Yine de, bu bulgular siber suçluların kritik BT altyapısını daha etkili bir şekilde hedefleme taktiklerini sürekli olarak geliştirdiğini göstermektedir. SEO zehirlenmesi kampanyası, çevrimiçi aramalardan araçlar indirirken BT profesyonelleri arasında daha iyi farkındalık ihtiyacını vurgulamaktadır, hatta son derece sıralı görünenler bile. Azure yardımcı güvenlik açığı, bulut kaynaklarının zamanında yama ve dikkatli bir şekilde yapılandırılmasının önemini vurgular.
Varonis, kuruluşlara bu büyüyen tehditleri azaltmak için çalışan eğitimi, uç nokta güvenliği, ağ segmentasyonu ve katı erişim kontrolleri de dahil olmak üzere bir “derinlemesine savunma” stratejisi uygulamalarını tavsiye eder. Azure depolama için HPC görüntüleri veya NFS kullanan Azure müşterilerine AZNFS-Mount yardımcı programlarını hemen güncellemeleri tavsiye edilir.