.jpg)
Bir GitHub kullanıcısı, Linux arka kapılarını içeren sahte kavram kanıtları (PoC’ler) yayınlayarak güvenlik araştırmacılarını kandırmayı başardı.
Siber güvenlik araştırmacıları, genel olarak bilinen güvenlik açıklarını test etmek ve daha iyi anlamak için PoC’leri kullanır. Temel ve her yerde bulunurlar, bu da belki de kötü olanın gözden kaçmasını kolaylaştırır.
Uptycs’ten araştırmacılar bu hafta, bilinen güvenlik açıkları için meşru PoC’leri kopyalayan ve bunları Linux tarafından oluşturulmuş gizli bilgi çalma kötü amaçlı yazılımıyla yeniden yayınlayan bir GitHub kullanıcısını (artık devre dışı bırakıldı) ortaya çıkardı. İki sahte PoC’den biri, keşif sırasında zaten 25 kez çatallanmıştı; ikinci bir kopya 20 kez çatallanmıştır.
Uptycs’te güvenlik araştırmacısı olan Siddartha Malladi, yüzlerindeki yumurta için kurbanları suçlamıyor. Bu tür bir tuzak hakkında “Kötü bir günde, her ayrıntıyı kontrol edemeyebilirim” diyor. “Her gün her kod satırını kontrol edecek kadar verimli değilim, değil mi?”
Savunmacılara Saldıran Saldırganlar
Uptycs araştırmacıları, çeşitli yaygın güvenlik açıklarına yönelik düzenli testler sırasında şüpheli bir PoC ile karşılaştı. Blog gönderilerinde “Görünüşte, gerçek çıktıyı taklit eden dizelerle tamamlanmış, gerçek bir gösteri gibi görünüyor” diye yazdılar, ancak kodu çalıştırmak, sistemlerinde “beklenmedik ağ bağlantıları, olağandışı veriler” dahil olmak üzere “önemli düzensizlikleri” tetikledi. aktarımlar ve yetkisiz sistem erişim girişimleri.”
İndirdikleri şeyin, CVE-2023-35829 için bir PoC kılığına giren bir GitHub girişi olduğu ortaya çıktı; bu, Linux çekirdeğinde 7.0 dereceli “yüksek” önem dereceli ücretsiz kullanım sonrası güvenlik açığıydı. Sunumun içeriği, anlamlı bir şekilde, Linux çekirdeğindeki farklı bir güvenlik açığı olan CVE-2022-34918 için yasal bir PoC’den neredeyse bit-bit kopyalandı. Tek fark ek bir dosyaydı. — kaynak/aclocal.m4 — bir Linux bash betiği için indirici görevi görür. Komut dosyası, ana makine hakkında ana bilgisayar adı ve kullanıcı adı gibi bilgileri ve giriş dizini içeriklerinin bir listesini toplayan bir arka kapı içerir.
Bu ilk kötü niyetli PoC’nin arkasındaki aynı profil, VMware Fusion hipervizörde 7,8 “yüksek” önem düzeyine sahip bir ayrıcalık yükseltme güvenlik açığı olan CVE-2023-20871 ile ilgili bir tane daha yayınladı. İsim dışında her şeyde, bu ikinci bal küpü birincisiyle aynıydı.
Tüm bunların arkasındaki beyin, GitHub kullanıcısı ChriSanders22’dir. Profil, biyografisini başka bir GitHub kullanıcısından çalmış gibi görünüyor ve profil resmi satranç ustası Shakhriyar Mamedyarov’u gösteriyor. Malladi, profiliyle chess.com’daki Filipinler’den bir kullanıcı arasında bağlantı kurmayı başardı.
Profil ve kötü amaçlı PoC’leri o zamandan beri silindi. Bir GitHub sözcüsü Dark Reading’i bilgilendirdi, “İçeriği, yasa dışı aktif saldırıyı veya teknik zararlara neden olan kötü amaçlı yazılım kampanyalarını doğrudan destekleyen içeriğin yayınlanmasını yasaklayan GitHub’ın Kabul Edilebilir Kullanım Politikaları uyarınca kaldırdık.”
Sahte CVE-2023-35829 PoC’nin kopyalanmış bir versiyonu hala yayında. 20 kez çatallanmıştır.
Güvenlik Profesyonellerinin Yapabilecekleri
PoC zehirlenmesi ne kadar neoterik olsa da, bilgisayar korsanlarının daha önce araştırmacıları taklit ettiği biliniyordu. Bunu sadece yapabileceklerini kanıtlamak veya rakipleri hakkında daha fazla şey öğrenmek için yapabilirler. Veya Malladi, araştırmacıların güçlü yazılım araçlarını çalmak isteyebileceklerini öne sürüyor.
Bu arada, sahte bir PoC açıkça meşru bir PoC ile çakıştığında bile, havuzların bu tür bir kimlik avını önlemek için yapabileceği pek bir şey yoktur. Malladi, yeni başlayan öğrencilerin Python’da bir “merhaba, dünya” programı kodlamaları ve ardından bunu GitHub’da yayınlamaları için görevlendirildiği varsayımsal bir üniversite kursu öneriyor. Aynı kod onlarca yeni hesap tarafından yayınlanabilir, “ama ne yapabilirler? Bu yasal bir şey. Sorun da bu. — Kopyalama algılansa bile yöneticiler bu konuda bir şey yapamaz.”
Ve bu nedenle, siber güvenlik profesyonelleri, her zaman sanal bir ortamda test ederek, müşterilerinden bekledikleri aynı dikkat ve hazırlıkla siber uzayla etkileşim kurarak yürüyüş yapmak zorunda kalacaklar.
Malladi, “Bu tür saldırıları daha önce kesinlikle gördük,” diye vurguluyor. “İnsanların bunun gelecekte durmayacağını anlamasını istiyorum.”