Siber güvenlik araştırmacıları, bilgisayar korsanlarının kimlik doğrulamasını atlamasına ve Sonicwall Güvenli Mobil Erişim (SMA) cihazları üzerinde idari kontrolü ele geçirmesine olanak tanıyan “Sonicboom Saldırı Zinciri” olarak adlandırılan tehlikeli yeni bir sömürü tekniğini ortaya çıkardılar.
Bu saldırı, gerçek dünya saldırılarında zaten tespit edilmiş olan yakın zamanda açıklanan güvenlik açıklarının bir kombinasyonundan yararlanmaktadır.
Sonicboom saldırı zinciri esasen iki şiddetli güvenlik açığını bir araya getirir:
.png
)
- CVE-2024-38475: Orange Tsai tarafından keşfedilen ve kimlik doğrulamadan önce keyfi dosyanın okunmasını sağlayan bir Apache HTTP sunucusu “dosya adı karışıklığı” hatası.
- CVE-2023-44221: Uzaktan komut yürütme verebilen Wenjie Zhong (H4LO) tarafından keşfedilen bir onay sonrası komut enjeksiyon kusuru.
Kombinasyonda, bu kusurlar tehdit aktörlerinin ilk önce Şifre ve Yapılandırma Dosyaları gibi, Apache Mod_rewrite Kusurunu kullanan parola ve yapılandırma dosyaları gibi erişmelerine izin verir ve ardından yönetici ayrıcalıklarla keyfi kod çalıştırmak için komut enjeksiyonundan yararlanır.
Sonicboom nasıl çalışır?
Saldırı zinciri, Apache Web sunucusunun HTTP isteklerini nasıl işlediği ve özellikle mod_rewrite modülünün yol kullanımı ile kötüye kullanıldığı karmaşıklıklarından yararlanır.
1. Adım: Keyfi Dosya Okundu
Saldırgan, SMA cihazına hazırlanmış bir HTTP isteği göndererek mod_rewrite güvenlik açığından (CVE-2024-38475) yararlanır.
Saldırgan, talebe URL kodlu bir soru işareti (örneğin, %3F) ekleyerek ve yolu dikkatlice manipüle ederek, sunucuyu potansiyel olarak hassas kimlik doğrulama verileri de dahil olmak üzere dosya sisteminden keyfi dosyaları ortaya çıkarmaya kandırabilir.
Örneğin, aşağıdaki gibi bir istek:
GET /portal/../../../../etc/passwd%3F HTTP/1.1
Host: target-smaamaçlanan erişim kontrollerini atlayarak /etc /passwd dosyasının içeriğini döndürebilir.
2. Adım: Komut Enjeksiyonu ve Yönetici Erişimi
Kritik bilgileri çıkardıktan sonra, saldırganlar kodu uzaktan yürütmek veya ayrıcalıkları artırmak için Auth sonrası komut enjeksiyon güvenlik açığını (CVE-2023-44221) kullanabilir.
Birinci adımda yapılandırma veya yönetici kimlik bilgileri elde edildiyse, sistem tamamen tehlikeye atılır.
Bir tehdit istihbarat firması olan WatchTowr’daki araştırmacılar, bu saldırıların herhangi bir kimlik doğrulaması olmadan gerçekleştirilebileceğini göstererek, her olmayan her SMA cihazını duyarlı bir hedef haline getirdi.
Sonicwave SMA cihazı, kritik uygulamalara uzaktan erişimi sağlamak için küresel olarak kuruluşlar tarafından yaygın olarak kullanılmaktadır. Ağ kenarlarındaki yaygınlığı onu siber suçlular için özellikle çekici bir hedef haline getirir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), her iki CVE’yi de bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna ekledi ve “devam eden sömürüyü ele almak için acil eylemin gerekli olduğunu” söyledi.
Başarılı bir şekilde tehlikeye atılırsa, saldırganlar şunları yapabilir:
- Hassas verileri ve kimlik bilgilerini çalın
- Kurumsal ağın içine fidye yazılımını veya kötü amaçlı yazılımları dağıtın
- Diğer iç kaynaklara saldırmak için pivot
Sonikwall etkilenen SMA sürümleri için acil tavsiyeler ve yamalar yayınladı. Yöneticiler şunları istemektedir:
- En son güncellemeleri uygulayın Hemen SMA cihazlarına
- Yetkisiz girişler ve dosya erişimi de dahil olmak üzere şüpheli etkinlikleri izleyin
- SMA cihazlarından kaynaklanan olağandışı ağ trafiğini kontrol edin
Hemen yama yapamayan kuruluşların, hafifletmeler yürürlükte olana kadar savunmasız cihazları çevrimdışı almaları önerilir.
Sonicboom saldırı zinciri, “bilinen” güvenlik açıklarının, özellikle kenar cihazlarında nasıl yıkıcı sonuçlara sahip olabileceğini vurgular. Her zaman olduğu gibi, hızlı yama ve katmanlı savunmalar en iyi hafifletmedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!