Siber suç, sahtekarlık yönetimi ve siber suç, yeni nesil teknolojiler ve güvenli gelişim
3.000 maruz kalan ASP.NET Keys, web uygulamalarını kod enjeksiyon saldırıları riski altına sokar
Prajeet Nair (@prajeaetspeaks) •
7 Şubat 2025
Tehdit aktörleri, kimlik doğrulama jetonlarını manipüle etmek, korumalı bilgileri çözmek ve zararlı kodu duyarlı web sunucularına eklemek için açık şifreli kriptografik anahtarları kullanıyor ve bilgisayar korsanlarının yetkisiz kontrolü ele geçirme ve uzun vadeli erişim sağlama potansiyelini yaratıyor.
Ayrıca bakınız: Kuruluşunuzu güvence altına almak için 57 ipucu
Microsoft’un tehdit istihbarat ekibi, Aralık 2024’ten itibaren, kötü niyetli kod enjekte etmek için halka açık, statik bir ASP.NET makine anahtarı kullanan kimliği belirsiz bir tehdit oyuncusu içeren faaliyetleri gözlemledi. Saldırganlar, Godzilla Secresitasyon Sonrası Çerçevesini dağıtmak için bu zayıflıktan yararlandı, potansiyel olarak hedeflenen sistemlerin kalıcı erişimini ve daha da uzlaşmasını sağladı.
Microsoft, ViewState kodu enjeksiyon saldırıları olarak adlandırdığı saldırıları kolaylaştırabilecek 3.000’den fazla kamuya açık olarak açıklanan anahtarlar keşfettiğini bildirdi.
Önceki saldırılar, yeraltı forumlarında işlem gören çalıntı veya tehlikeye atılmış anahtarlara dayanıyordu. Microsoft, kamuoyunda açıklanan anahtarların çeşitli kod depolarında yaygın olarak erişilebilir oldukları ve herhangi bir değişiklik yapmadan doğrudan geliştirme projelerine entegre edilmiş olabileceğinden daha da büyük bir risk oluşturabileceği konusunda uyarıyor.
Aralık 2024’te Microsoft, Godzilla’yı yansıtıcı bir şekilde yükleyen ve bilgisayar korsanının komutları yürütmesini, kabuk kodu enjekte etmesini ve diğer sömürü sonrası etkinlikleri gerçekleştirmesini sağlayan kötü niyetli bir Viewstate yükü enjekte eden bilinmeyen bir tehdit oyuncusu tespit etti.
ViewState, ASP.NET web formlarında, kullanıcı etkileşimleri arasındaki web sayfalarının durumunu koruyan bir özelliktir. Kurcalamayı ve veri sızıntılarını önlemek için makine tuşlarına, validationKey ve DecloyptionKey’e güvenir. Saldırganlar bu anahtarları alırlarsa, kötü niyetli görüntüleme verileri oluşturabilir ve hedeflenen web uygulamasına gönderebilirler. İşlendiğinde, enjekte edilen kod web sunucusunda yürütülür ve saldırganlara sistem üzerinde kontrol sağlar.
Microsoft, geliştiricilerin kamu kaynaklarından kopyalanan makine anahtarlarını kullanmaktan ve riskleri azaltmak için düzenli olarak anahtarları döndürmesini önerir. Şirket ayrıca belgelerinden kilit örnekleri kaldırdı ve güvenlik ekiplerinin ortamlarında kamuya açıklanan anahtarları tanımlaması ve değiştirmeleri için bir senaryo sağladı.
Endpoint için Microsoft Defender, alarmın kendisi aktif bir saldırı göstermez, ancak kamuya açık ASP.NET makine anahtarları için bir uyarı da içerir. ASP.NET uygulamalarını, özellikle web çiftliklerinde konuşlandırılan kuruluşların, sabit makine anahtarlarını sistem kayıt defterinde saklanan otomatik oluşturulmuş değerlerle değiştirmeleri istenir.
Web’e dönük bir sunucu tehlikeye atılmışsa, makine anahtarlarının tek başına dönmesi kalıcı tehditleri ortadan kaldırmayabilir. Microsoft, potansiyel arka kapıları veya yetkisiz erişim noktalarını tespit etmek için tam bir adli soruşturma yapılmasını önerdiğini söyledi.
Raporda, yüksek riskli davalarda, güvenlik ekipleri daha fazla sömürü önlemek için etkilenen sistemleri yeniden düzenlemeyi ve yeniden yüklemeyi düşünmelidir.
Kuruluşlar ayrıca hassas yapılandırma dosyalarını şifreleme, güvenli devOps prosedürlerini takip etme ve uygulamaları ASP.NET 4.8’e yükseltme gibi en iyi uygulamaları uygulamalıdır. Microsoft, Windows sunucularında Web Kabuğu Oluşturulmasını engellemek için antimalware tarama arabirimi özelliklerinin ve saldırı yüzey azaltma kurallarının etkinleştirilmesini tavsiye etti.