Güvenlik araştırmacıları, ağa erişime izin veren kritik güvenlik açıklarının yamalanmasının, fidye yazılımı saldırılarına karşı savunma için yetersiz olduğu konusunda uyarıda bulunuyor.
Bazı çeteler, fırsat penceresi varken bir arka kapı planlamak için kusurları kullanıyor ve kurban gerekli güvenlik güncellemelerini uyguladıktan çok sonra geri dönebilir.
Bir vaka, bilgisayar korsanlarının bir telefon sistemindeki kritik bir hata için açık kullanarak kurbanın ağına erişmesinden aylar sonra tamamlanan bir Lorenz fidye yazılımı saldırısıdır.
Güvenlik güncellemesinden önce arka kapı yerleştirildi
Bir Lorenz fidye yazılımı saldırısına olay müdahalesi sırasında, küresel istihbarat ve siber güvenlik danışmanlık şirketi S-RM’deki araştırmacılar, bilgisayar korsanlarının yatay hareket etmeye, veri çalmaya ve sistemleri şifrelemeye başlamadan beş ay önce kurban ağını ihlal ettiğini belirledi.
S-RM, bilgisayar korsanlarının Mitel telefon altyapısında uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2022-29499’dan yararlanarak ilk erişimi elde ettiğini belirledi.
Güvenlik sorunu, geçen yıl CrowdStrike Services tarafından “şüpheli bir fidye yazılımı saldırı girişimi” ile ilgili bir soruşturmada keşfedildi. O sırada, satıcı güvenlik açığından haberdar değildi ve henüz bir düzeltme gelmemişti.
S-RM araştırmacıları, müşterileri Temmuz ayında CVE-2022-29499 yamasını uygularken, Lorenz fidye yazılımı bilgisayar korsanlarının daha hızlı hareket ederek güvenlik açığından yararlandığını ve sorunu düzelten güncellemeden bir hafta önce bir arka kapı yerleştirdiğini keşfetti.
“Ağ çevresindeki bir CentOS sistemindeki iki Mitel PHP sayfasındaki güvenlik açıklarından yararlandılar, bu da kendi altyapılarından bir web kabuğu almalarına ve sisteme yüklemelerine olanak sağladı” – S-RM
Sistemde güvenlik açığı bulunan hiçbir sayfa kalmamasına rağmen, adli tıp analizi, bu sayfalara en son, kurbanın makinesinde tehdit aktörünün web kabuğu oluşturulduğunda erişildiğini ortaya çıkardı.
Bilgisayar korsanları arka kapıyı “” olarak adlandırarak gizlemeye çalıştı.twitter_icon_>” ve sistemdeki yasal bir konum dizinine yerleştirdi.
Web kabuğu, HTTP POST isteklerini iki parametreyle dinleyen tek bir PHP kodu satırıdır: rastgele dizeyle birlikte sistem erişimi için kimlik bilgileri görevi gören “id” ve yürütülecek komutları içeren “img” .
kaynak: S-RM
Beş ay boyunca, web kabuğu kurban ağında uykuda kaldı. Bilgisayar korsanları saldırıyı gerçekleştirmeye hazır olduklarında arka kapıyı kullandılar ve Lorenz fidye yazılımını 48 saat içinde yerleştirdiler.
Kritik hata düzeltmesini uygulamadan önce izinsiz girişi kontrol edin
S-RM araştırmacıları, uzun hareketsizlik süresinin, fidye yazılımı grubunun kurban ağına erişimlerini bir aracıdan satın aldığını düşündürebileceğini söylüyor.
Başka bir teori, Lorenz çetesinin, ilk erişimi elde eden ve onu diğer davetsiz misafirlerin olası kaçırmalarına karşı koruyan özel bir şubeye sahip olacak kadar yeterince organize olduğudur.
S-RM araştırmacıları Tim Geschwindt ve Ailsa Wood, tehdit aktörlerinin tipik olarak yeni bir güvenlik açığından tam olarak yararlandıklarını ve daha sonra saldırıya devam etmek için geri dönmek üzere internette olabildiğince çok yama uygulanmamış sistemi bulup tehlikeye atmaya çalıştıklarını söylüyor.
“Lorenz’in aktif olarak eski arka kapılara döndüğünü, hâlâ erişimleri olup olmadığını kontrol ettiğini ve bunları fidye yazılımı saldırıları başlatmak için kullandığını değerlendiriyorlar.”
Bu nedenle, iki araştırmacı, yazılımı doğru zamanda en son sürüme güncellemenin ağı savunmak için hala önemli bir adım olduğunu, ancak kritik güvenlik açıkları durumunda şirketlerin istismar girişimleri ve olası izinsiz girişler için ortamlarını da kontrol etmeleri gerektiğini belirtiyor.
Günlükleri incelemek, yetkisiz erişim veya davranış aramak ve beklenmeyen trafik için ağ izleme verilerini kontrol etmek, bir güvenlik güncellemesinden sonra bile hayatta kalabilecek bir izinsiz girişi ortaya çıkarabilir.