WebDAV uygulamalarında, GitHub’da kamuya açık olan kavram kanıtı istismar kodu ile uzaktan kod yürütülmesini sağlayan kritik bir sıfır gün güvenlik açığı.
CVE-2025-33053 olarak izlenen güvenlik açığının, kurumsal ağlara karşı hedeflenen kampanyalardaki ileri süren tehdit (APT) grupları tarafından aktif olarak kullanıldığı bildiriliyor.
Exploit, güvenliği ihlal edilmiş ortamlarda başlangıç erişimini ve yanal hareketi elde etmek için WebDAV sunucusu yapılandırmalarıyla birlikte kötü amaçlı URL kısayol dosyalarından yararlanır.
.png
)
Kritik Webdav 0 günlük RCE Güvenlik Açığı
Tehdit aktörleri, halka açık WebDAV hizmetlerine sahip kuruluşları hedefleyen daha geniş saldırı kampanyalarının bir parçası olarak bu WebDAV güvenlik açığından yararlanıyor.
Saldırı metodolojisi, şüphesiz kullanıcılar tarafından yürütüldüğünde saldırgan kontrollü WebDAV sunucularına otomatik olarak bağlantılar kuran kötü niyetli .url kısayol dosyalarını dağıtmayı içerir.
Bu kampanyalar, varsayılan yapılandırmaların genellikle yeterli erişim kontrollerinden yoksun olduğu WebDAV modülleri ile APACHA2 çalıştıran ortamlara karşı özel bir etkinlik göstermiştir.
Güvenlik açığı, uzak WebDAV paylaşımlarına işaret eden UNC (Evrensel Adlandırma Sözleşmesi) yollarını içeren URL kısayol dosyalarının yanlış kullanımıdır.
Mağdurlar bu dosyalarla etkileşime girdiğinde, Windows sistemleri otomatik olarak uzak sunucu ile kimlik doğrulaması yapmaya çalışır, potansiyel olarak NTLM kimlik bilgilerini ortaya çıkarır veya kötü amaçlı yüklerin yürütülmesini tetikler.
Güvenlik araştırmacıları, genellikle “finans_report.url” veya benzer bağlamsal olarak alakalı dosya adları gibi meşru iş belgeleri olarak gizlenmiş olan bu silahlı kısayolları kimlik avı kampanyaları aracılığıyla dağıtan APT gruplarını gözlemlediler.
Konsept Kanıtı Çıktı
Güvenlik araştırmacısı Devbuihieu, güvenlik açığının sömürü mekanizmalarını gösteren kapsamlı bir kavram kanıtı deposu yayınladı.
Araç seti, WebDAV altyapısını oluşturmak ve kötü amaçlı kısayol dosyaları oluşturmak için otomatik komut dosyaları içerir. Birincil kurulum komut dosyası, setup_webdav.sh, savunmasız WebDAV yapılandırmalarının dağıtımını otomatikleştirir:
Sömürü Araç Seti ayrıca özelleştirilebilir parametrelere sahip silahlandırılmış URL kısayol dosyaları oluşturan Python tabanlı bir yük üreticisi (gen_url.py) içerir:
Gelişmiş yapılandırma seçenekleri, saldırganların kötü amaçlı kısayollar içinde özel yürütülebilir ürünler, simge dosyaları ve çalışma dizinleri belirtmelerine olanak tanır.
Oluşturulan .URL dosyaları, UNC gösterimi yoluyla uzaktan WebDAV yollarına başvuran ve açıldığında otomatik bağlantı denemelerini tetikleyen özel olarak hazırlanmış internetshortcut bölümleri içerir.
Bu dosyalar tipik olarak sosyal mühendislik etkinliğini artırmak için çalışma = \\ 192.168.1.100 \ webdav \ ve özelleştirilebilir ikonfile yolları gibi parametreleri içerir.
Bu kavram kanıtı kamuya açıklanması, WebDAV hizmetlerini kullanan kuruluşlar için tehdit ortamını önemli ölçüde artırıyor.
Sistem yöneticileri, APACHE2 WebDAV yapılandırmalarını derhal denetlemeli ve yetkisiz bağlantıları önlemek için kısıtlayıcı erişim kontrolleri uygulamalıdır.
Kritik azaltma adımları, gereksiz DAV ve DAV_FS modüllerinin devre dışı bırakılmasını, sağlam kimlik doğrulama mekanizmalarının uygulanmasını ve WebDAV’ın yalnızca kimliği doğrulanmış kullanıcılara erişimini kısıtlamayı içerir.
Kuruluşlar ayrıca, geleneksel antivirüs çözümleri bu saldırı vektörlerini güvenilir bir şekilde tanımlamayabileceğinden, kötü amaçlı URL kısayol dosyalarını tespit edebilen ve karantinaya çıkarabilen e -posta güvenlik çözümlerini dağıtmalıdır.
Ağ izleme, kullanışsız UNC yol bağlantılarını ve sömürü girişimlerini gösterebilecek WebDAV trafik modellerini belirlemeye odaklanmalıdır.
Otomatik ağ kimlik doğrulamasını kısıtlamak ve uzak kaynaklara yetkisiz erişimi önlemek için grup ilkesi yapılandırmaları gözden geçirilmelidir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri