Tanımlanamayan bir tehdit aktörü veya tehdit aktörleri, bu yılın başlarında Adobe ColdFusion’daki kritik ancak önceden yamalanmış bir güvenlik açığından yararlanarak bir ABD federal hükümet kurumunun halka açık iki Web sunucusuna erişim sağladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu hafta yaptığı açıklamada, izinsiz girişlerin, saldırganların ajansın daha geniş ağının haritasını çıkarmaya yönelik bir keşif girişiminin parçası gibi göründüğünü, ancak ele geçirilen ağda veri sızıntısı veya yanal hareket olduğuna dair hiçbir kanıt bulunmadığını söyledi. .
İki İzinsiz Giriş
Ajans, yayınladığı tavsiye niteliğindeki yazısında saldırıların haziran ve temmuz aylarında gerçekleştiğini ve saldırıların CVE-2023-26360, etkilenen sistemlerde uzaktan kod yürütülmesine olanak tanıyan uygunsuz bir erişim kontrolü güvenlik açığı. Güvenlik açığı, Adobe’nin artık desteklemediği kullanım ömrü sonu sürümleri de dahil olmak üzere birden fazla ColdFusion sürümünü etkiliyor. Adobe, güvenlik açığına CVSS ölçeğinde 10 üzerinden 8,6 önem derecesi verdi; bu da şirketin görüşüne göre güvenlik açığını yüksek ila kritik önem düzeyine sahip bir tehdit haline getiriyor.
Adobe açıklandı Mart ayında güvenlik açığı – ve yamalandı – satıcının söylediğine göre, saldırganların “çok sınırlı” sayıdaki saldırılarda aktif olarak bu kusurdan yararlandığına dair raporlar vardı. Bu, Adobe’nin aynı danışma belgesinde ortaya çıkardığı iki kritik güvenlik açığından biriydi; diğeri ise CVE-2023-26359 — keyfi kod yürütülmesine olanak tanıyan güvenilmeyen veri kusurunun seri durumdan çıkarılması. Adobe’nin Mart ayındaki açıklamasından kısa bir süre sonra CISA, güvenlik açığının federal kurumlar için oluşturduğu “önemli risklere” atıfta bulunarak CVE-2023-26360’ı Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi. CISA daha sonra KEV’sine CVE-2023-26359’u da ekledi. kusuru hedef alan aktif saldırı raporları.
Adobe ColdFusion, Web ve mobil uygulamalar oluşturmaya yönelik tescilli ve birçok kişinin eski olarak kabul edeceği bir platformdur. Yıllar öncesine göre daha az popüler olsa da birçok kuruluş hâlâ bu teknolojiyi kullanıyor. Adobe’nin kendisi bunu iddia ediyor Fortune 500 şirketlerinin %60’ı şu anda Web uygulaması geliştirme için ColdFusion kullanıyor.
Keşif Faaliyeti?
CISA’ya göre, Haziran ve Temmuz aylarında federal kuruma yapılan izinsiz girişler, ColdFusion’ın eski, desteklenmeyen sürümlerini çalıştıran sunucuları içeriyordu.
Haziran olayında tehdit aktörü, Adobe ColdFusion v2016.0.0.3 çalıştıran bir sunucuda CVE-2023-26360’tan yararlandı. Tehdit aktörü, ilk erişimi sağladıktan sonra sistemde o anda çalışan tüm işlemleri sıraladı ve muhtemelen ele geçirilen sunucuyla iletişim kurabilme yeteneklerini doğrulamak için bir ağ bağlantı kontrolü gerçekleştirdi. CISA, saldırganların ayrıca Web sunucusu ve işletim sistemi hakkında diğer bilgileri toplamaya çalıştıklarını ve kullanıcı adını, şifreyi, veri kaynağı URL’lerini ve sonraki saldırılarda kullanabilecekleri diğer bilgileri çıkarmak için kötü amaçlı yazılım enjekte etmek amacıyla HTTP POST isteklerini kullandıklarını söyledi.
Diğer saldırıda ise aynı veya farklı bir tehdit aktörü, CVE-2023-26360’ı kullanarak aynı federal kurumdaki farklı bir Web sunucusuna saldırı düzenledi; bu sunucu ColdFusion’ın farklı bir sürümünü çalıştırıyordu. Tehdit aktörü, sistemi ihlal ettikten sonra ele geçirilen ağ üzerinde yatay hareket fırsatlarını araştırdı ve yerel ve etki alanı düzeyindeki idari hesaplar hakkında çeşitli bilgiler topladı. Saldırgan ayrıca ağ yapılandırma bilgilerini, zaman günlüklerini ve kullanıcı bilgilerini toplamak amacıyla ağ ve ana bilgisayar keşifleri de gerçekleştirdi. Diğer olayda olduğu gibi, tehdit aktörü, ihlal edilen sunucuya uzaktan erişim Truva Atı da dahil olmak üzere kötü amaçlı kod bırakmak için HTTP POST komutlarını kullandı.
CISA, “Her iki olayda da Uç Nokta için Microsoft Defender (MDE), ajansın üretim öncesi ortamındaki halka açık web sunucularında Adobe ColdFusion güvenlik açığından yararlanma olasılığı konusunda uyardı.” dedi.
Eski Sistemlerin Güvenliğinin Sağlanmasıyla İlgili Zorluklar
Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, CVE-2023-26360’ın ciddi bir güvenlik açığı olmasına rağmen, normalde geleneksel siber güvenlik çözümleri tarafından izlenebilecek ve üzerinde işlem yapılabilecek sunucuları etkilemesinin bir teselli olduğunu söylüyor. “Örneğin, bahsedilen olaylarda, kodun başarılı bir şekilde yürütülmesini önlemek ve kötü amaçlı olarak tanımlanıp uygun şekilde karantinaya alınmasını sağlamak için geleneksel güvenlik çözümleri devreye girdi.”
Critical Start siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, genel olarak ColdFusion gibi eski ticari yazılım teknolojilerinin saldırganlar için birçok nedenden dolayı çekici hedefler olduğunu söylüyor. Bunlar arasında göreceli güncelleme ve destek eksikliği; kurumsal organizasyonda yüksek yaygınlık; Saldırganlar arasında bu sistemlerin daha ileri teknolojiye sahip sistemlere kıyasla muhtemelen daha az izlendiği ve korunduğu yönünde bir algı var. Modern güvenlik araçlarının eski sistemlerle entegre edilmesindeki zorluklar, bu teknolojilerin yükseltilmesi veya değiştirilmesi sırasında olası aksaklıklar ve teknolojilere aşina olan insan kaynağının azalması nedeniyle bu sistemler etrafında güvenli bir duruş sergilemenin zorlayıcı olabileceğini söylüyor.
Günther, “Adobe ColdFusion’da CVE-2023-26360’ın özellikle artık desteklenmeyen sürümlerde kullanılması, bu risklerin ve zorlukların altını çiziyor” diyor. “Düzenli yazılım güncellemelerinin, güçlü güvenlik önlemlerinin ve desteklenmeyen eski sistemlerden uzaklaşmanın, güvenlik açıklarını ve potansiyel siber tehditleri azaltmak için önemini vurguluyor.”