Critik bir sunucu tarafı isteği Arıtma (SSRF) güvenlik açığı (CVE-2025-27090), Sliver C2 Framework’ün TeamServer uygulamasında tanımlanmış ve saldırganların savunmasız sunucular aracılığıyla yetkisiz TCP bağlantıları kurmasını sağlayan tanımlanmıştır.
1.5.26 ila 1.5.42 sürümlerini etkileyen ve 340A2 taahhütünün altındaki sürümleri etkileyen bu güvenlik açığı, kırmızı takım altyapısını potansiyel IP sızıntısına, yanal harekete ve trafik müdahalesine maruz bırakır.
Güvenlik açığı, protokol işleyicilerinin implant kaydı ve tünel oluşturma dizilerinin işlenmesinde bulunur.
Chebuya’daki güvenlik araştırmacıları, şeridin mimarisinin tipik olarak takım sahiplerini koruyucu yönlendiricilerin arkasına yerleştirdiğini belirtti.
.webp)
Bununla birlikte, bu kusur, hazırlanmış implant geri çağrıları yoluyla bu önlemleri atlamaya izin verir.
SSRF istismarının teknik mekanizması
İstismar zinciri, Sliver’ın GO kod tabanından iki kritik işleyici işlevinden yararlanır.
Birincisi, registerSessionHandler Protobuf Deserializasyon yoluyla yeni implantlar için bir oturum nesnesi oluşturur:
// server/handlers/sessions.go
session := core.NewSession(implantConn)
core.Sessions.Add(session) // Adds session to teamserver trackingSaldırganlar daha sonra sömürür tunnelDataHandler Özellikle hazırlanmış Tunneldata mesajları göndererek CreateReverse true olarak ayarlayın:-
// server/handlers/session.go
if rtunnel == nil && tunnelData.CreateReverse == true {
createReverseTunnelHandler(implantConn, data) // Triggers SSRF
}Bu, TeamServer’ı, defaultDialer.DialContext Arama:-
remoteAddress := fmt.Sprintf("%s:%d", req.Rportfwd.Host, req.Rportfwd.Port)
dst, err := defaultDialer.DialContext(ctx, "tcp", remoteAddress)Güvenlik açığı, Sliver’ın tünel yönetim sistemi aracılığıyla tam çift yönlü iletişim sağlar.
Python POC kodunda gösterildiği gibi, saldırganlar önce sahte bir oturum kaydettikten sonra ters tünelleri başlatın:-
registration_envelope = generate_registration_envelope()
ssock.write(registration_envelope_len + registration_envelope)
reverse_tunnel_envelope = generate_create_reverse_tunnel_envelope(target_ip, port, data)
ssock.write(reverse_tunnel_envelope_len + reverse_tunnel_envelope)Güvenlik açığı, gelişmiş oturum doğrulama ve tünel oluşturma kontrolleri ile 3F2A1B9 taahhüdünde yamalanmıştır.
Yöneticiler derhal Sliver v1.5.43+ ‘a güncellenmeli ve yetkisiz kabuk kodu oluşturma özellikleri için tüm sahneleme dinleyicilerini denetlemelidir.
Bu SSRF kusuru, çift yönlü ağ iletişimini işleyen C2 çerçevelerinde katı giriş validasyonuna yönelik kritik ihtiyacı vurgulamaktadır.
Kırmızı takım araçları giderek daha fazla saldırı hedefledikçe, Teamserver bileşenlerinin sağlam izolasyonu operasyonel güvenlik için çok önemlidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here