Microsoft, yazılım geliştiricilerinin halka açık olarak açıklanan ASP.NET makine anahtarlarını halka açık kaynaklardan dahil ettikleri ve böylece uygulamalarını saldırganların yoluna koydukları güvensiz bir uygulamaya uyuyor.
Teknoloji devinin tehdit istihbarat ekibi, Aralık 2024’te, kötü amaçlı kod enjekte etmek ve Godzilla Sıkıştırma Sonrası çerçevesini sunmak için halka açık, statik bir ASP.NET Machine anahtarı kullanarak bilinmeyen bir tehdit oyuncusu içeren sınırlı faaliyet gözlemlediğini söyledi.
Ayrıca, bu tür saldırılar için kullanılabilecek 3.000’den fazla kamuya açık olarak açıklanan anahtarlar belirlediğini ve görüntüleme kodu enjeksiyon saldırıları olarak adlandırdığını belirtti.
“Daha önce bilinen birçok ViewState kodu enjeksiyon saldırıları, genellikle karanlık web forumlarında satılan tehlikeye atılmış veya çalıntı anahtarlar kullanırken, bu kamuya açıklanan anahtarlar, birden fazla kod deposunda mevcut oldukları için daha yüksek bir risk oluşturabilir ve değişiklik yapmadan geliştirme koduna itilmiş olabilirler , “Dedi Microsoft.
ViewState, ASP.NET Framework’te sayfayı korumak ve geri dönüşler arasındaki değerleri kontrol etmek için kullanılan bir yöntemdir. Bu, bir sayfaya özgü uygulama verilerini de içerebilir.
Microsoft, “Varsayılan olarak, durum verilerini görüntüleyin Gizli bir alanda saklanır ve Base64 kodlaması kullanılarak kodlanır.” “Buna ek olarak, bir makine kimlik doğrulama kodu (MAC) tuşu kullanılarak verilerden görünüm durumu verilerinin bir karması oluşturulur. Kodlanmış görünüm durum verilerine karma değeri eklenir ve sonuçta ortaya çıkan dize sayfada saklanır.”
Karma değeri kullanırken, fikir, görünüm durumu verilerinin kötü niyetli aktörler tarafından bozulmamasını veya tahrif edilmesini sağlamaktır. Bununla birlikte, bu anahtarlar çalınırsa veya yetkisiz üçüncü taraflar için erişilebilir hale getirilirse, tehdit oyuncusunun kötü niyetli bir görüntüleme isteği göndermek ve keyfi kod yürütmek için anahtarlardan yararlanabileceği bir senaryoya açılır.
Redmond, “İstek, hedeflenen sunucuda ASP.NET çalışma zamanı ile işlendiğinde, ViewState, doğru anahtarlar kullanıldığı için şifrelenir ve başarıyla doğrulanır.” “Kötü amaçlı kod daha sonra işçi işlem belleğine yüklenir ve yürütülür ve Tehdit Oyuncusu IIS web sunucusundaki uzaktan kod yürütme özelliklerini sağlar.”
Microsoft, kamuya açıklanan makine anahtarları için karma değerlerin bir listesini sağlamıştır ve müşterileri bunları ortamlarında kullanılan makine anahtarlarına karşı kontrol etmeye çağırır. Ayrıca, kamuya açıklanan anahtarların başarılı bir şekilde kullanılması durumunda, tehdit aktörlerinin ev sahibi üzerinde zaten kalıcılık oluşturmuş olabileceği için sadece anahtarların döndürülmeyeceği konusunda uyardı.
Bu tür saldırıların sağladığı riski azaltmak için, genel olarak mevcut kaynaklardan anahtarları kopyalamaması ve anahtarları düzenli olarak döndürmeniz önerilir. Tehdit aktörlerini caydırmak için bir başka adım olarak Microsoft, önemli eserleri belgelere dahil edildikleri “sınırlı örneklerden” çıkardığını söyledi.
Geliştirme, bulut güvenlik şirketi Aqua’nın, Kubernetes ortamlarında yetkisiz konteyner görüntülerinin dağıtılması da dahil olmak üzere yetkisiz eylemler yürütmek için kullanılabilecek bir OPA Gatekeeper baypasının ayrıntılarını açıkladığı gibi geliyor.
Araştırmacılar Yakir Kadkoda ve Assaf Morag, hacker News ile paylaşılan bir analizde, “K8SallowedRepos politikasında, Rego Logic’in kısıtlama dosyasında nasıl yazıldığından bir güvenlik riski ortaya çıkıyor.” Dedi.
“Bu risk, kullanıcılar kısıtlama YAML dosyasındaki rego mantığının onları nasıl işlediğiyle uyumlu olmayan değerleri tanımladığında daha da güçlendirilir. Bu uyumsuzluk, politika bypass ile sonuçlanabilir ve kısıtlamaları etkisiz hale getirir.”