Saldırganlar, şantiyelerinde çalışan iş yazılımlarındaki zayıflıkları kötüye kullanarak dikkatlerini giderek inşaat firmalarına çeviriyor.
En yeni hedeflerden biri, genellikle arka planda bir MSSQL veritabanıyla Microsoft IIS üzerinde konuşlandırılan Mjobtime inşaat süresi izleme uygulamasıdır.
Mjobtime sürüm 15.7.2’deki, CVE-2025-51683 olarak izlenen bir kör SQL enjeksiyon kusuru, uzaktaki saldırganların, uygulamanın /Default.aspx/update_profile_Server uç noktasına hazırlanmış HTTP POST istekleri göndermesine ve veritabanını sistem komutlarını çalıştırmaya zorlamasına olanak tanır.
Bu saldırı yolu, davetsiz misafirlere, halka açık bir web formundan, yöneticilere yönelik güçlü özellikleri kötüye kullanabilecekleri veritabanı motoruna doğrudan bir hat sağlar.
Gerçek olaylarda, kötü amaçlı trafik ilk olarak IIS günlüklerinde savunmasız uç noktaya tekrarlanan POST istekleri olarak görünür, ardından Mjobtime MSSQL örneğinde xp_cmdshell genişletilmiş saklı yordamın etkinleştirilmesi gelir.
xp_cmdshell etkinleştirildikten sonra saldırganın işletim sistemi komutlarını hizmet hesabının izinleriyle çalıştırmasına izin verir ve genellikle saldırgana Windows ana bilgisayarı üzerinde derin kontrol sağlar.
Huntress analistleri bu modeli 2025 yılında üç ayrı müşteri ortamında gözlemledi ve bunların tümü inşaat sektöründeki Mjobtime dağıtımlarıyla bağlantılıydı.
İlk durumda, tehdit aktörünü xp_cmdshell kullanarak “cmd /c net user” gibi komutları çalıştırmak ve harici bir oastify.com etki alanına ping atmak, açık keşif işaretleri ve ele geçirilen veritabanı sunucusundan geri arama testi yapmak için kaydettiler.
.webp)
Diğer iki durumda ise saldırganlar wget ve curl kullanarak uzaktaki veri yüklerini almaya çalıştı ancak izinsiz girişin daha ileri aşamalarına geçemeden durduruldular. Etkilenen bir ana bilgisayarda bu komutlarla ilişkili işlem ağacı.
IIS POST İsteğinden MSSQL Komut Yürütülmesine
Bulaşma zinciri, bir saldırganın Mjobtime web ön ucu tarafından açığa çıkan update_profile_Server işlevine özel hazırlanmış bir POST isteği göndermesiyle başlar.
Kör SQL enjeksiyon hatası nedeniyle, web uygulaması saldırgan tarafından kontrol edilen girişi uygun kontroller olmadan MSSQL arka ucuna ileterek, davetsiz misafirin uygulamanın veritabanında çalıştırdığı sorguları manipüle etmesine izin verir.
.webp)
Saldırgan, birkaç istek üzerine Mjobtime örneğinde xp_cmdshell’i etkinleştirmek için bu kontrolü kullanır ve ardından sistem düzeyinde komutları yürütür.
.webp)
InfoGuard Labs araştırmasından elde edilen ve Huntress vakalarında görülen davranışı yansıtan kavram kanıtı yüklerini gösterir.
XP_cmdshell yayına girdikten sonra, veritabanı sunucusu, güvenlik duvarının arkasında, normal web trafiği gibi görünen bir yolla erişilebilen, etkili bir şekilde uzak bir kabuk haline gelir.
Bu sadece hassas inşaat projelerini ve maaş bordrosu verilerini açığa çıkarmakla kalmıyor, aynı zamanda saldırganın hızla kontrol altına alınamadığı takdirde ağın daha derinlerine inmek için kullanabileceği bir dayanak noktası da sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
