Vahiy ile ilgili olarak, siber güvenlik firması Esentire Tehdit Müdahale Birimi (TRU), ASP.NET AJAX için devam eden Telerik UI olan altı yıllık bir güvenlik açığının aktif sömürüsünü tespit etti.
İnternet Bilgi Hizmetleri (IIS) sunucularını etkileyen bu kusur, kötü amaçlı aktörlerin yetkisiz uzaktan erişim kazanmalarını ve komutları yürütmelerini sağlayarak eşleştirilmemiş sistemler için önemli bir tehdit oluşturmasını sağlar.
Güvenlik açığı, yaşına rağmen kritik bir saldırı vektörü olmaya devam eder ve kurumsal ortamlarda miras güvenlik açıklarının kalıcı zorluğunun altını çizmektedir.
Saldırı Metodolojisi
Sömürü süreci, etkin bir dosya yükleme işleyicisi için IIS sunucularını araştıran tehdit aktörleriyle başlar.
Onaylandıktan sonra, ters bir kabuk yüklemek için özelleştirilmiş bir kavram kanıtı (POC) istismarını kullanırlar.
Ters kabuk, Windows soketlerini kullanarak bir komut ve kontrol (C2) sunucusu ile bağlantı kurmak için tasarlanmış karışık mod .NET derlemesidir.
Erişim kazandıktan sonra, rakipler keşif komutları uygulayarak, kullanıcıları numaralandırarak ve IIS İşçi Süreci (W3WP.EXE) içinde “CMD.EXE” gibi araçlardan yararlanarak faaliyetlerini artırırlar.
Ters kabuklar genellikle randomize sayısal desenlere benzeyen dosya adlarına sahip geçici dizinlerde biriktirilir, örneğin, [10 digits].[6 digits].dll.
Ayrıca, saldırganlar kamu dizinlerinde “pingcaler.exe” ve “juicypotatong.exe” gibi yanıltıcı dosya adları altında Juicypotatong ayrıcalık yükseltme aracını dağıtıyorlar.
“RDP.bat” ve “User.bat” gibi toplu komut dosyaları da gözlenmiştir, ancak belirli işlevleri belirsizliğini korumaktadır.
Esentire Tru, bu saldırıları Ocak 2025’in başlarında IIS sunucuları içindeki şüpheli etkinlik günlükleri ile tanımladı.
Örneğin, IIS Access günlükleri, savunmasız uç noktalara yönelik istekleri görüntüledi (Telerik.Web.UI.WebResource.axd) Belirli sorgu parametreleri ile sinyal sömürü girişimleri. Tespit üzerine, siber güvenlik firması.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free