Tehdit aktörlerinin, ASP.NET AJAX ve Advantive Veracore için İlerleme Telerik UI dahil olmak üzere çeşitli yazılım ürünlerinde birden fazla güvenlik kusurundan yararlandığı gözlemlenmiştir, geri kabukları ve web kabuklarını düşürmek ve tehlikeye atılan sistemlere kalıcı uzaktan erişimi sürdürmektedir.
Veracore’daki güvenlik kusurlarının sıfır gün sömürülmesi, en az 2010’dan beri aktif olduğu bilinen Vietnam kökenli bir siber suç grubu olan XE Group olarak bilinen bir tehdit aktörüne atfedildi.
Solis Security ile işbirliği içinde yayınlanan bir raporda, “XE Group, kredi kartı sıyırmadan hedeflenen bilgi hırsızlığına geçti, operasyonel önceliklerinde önemli bir değişime işaret etti.” Dedi.
“Saldırıları artık imalat ve dağıtım sektörlerindeki tedarik zincirlerini hedef alarak yeni güvenlik açıklarından ve gelişmiş taktiklerden yararlanıyor.”
Söz konusu güvenlik açıkları aşağıda listelenmiştir –
- CVE-2024-57968 (CVSS Puanı: 9.9) – Uzaktan kimliği doğrulanmış kullanıcıların dosyaları istenmeyen klasörlere yüklemesine izin veren tehlikeli bir tür güvenlik açığı ile sınırsız bir dosya yüklemesi (Veracode sürüm 2024.4.2.1)
- CVE-2025-25181 (CVSS Puanı: 5.8) – Uzak saldırganların keyfi SQL komutlarını yürütmesine izin veren bir SQL enjeksiyon güvenlik açığı (yama yok)
Intezer ve Solis Security’den gelen son bulgular, enfekte sistemlere yetkisiz erişim için ASPXSPY web kabuklarını dağıtmak için eksikliklerin, 2020’nin başlarında CVE-2025-25181’den fazla kullanıldığını göstermektedir. Sömürme faaliyeti Kasım ayında keşfedildi. 2024.
Web mermileri, dosya sistemini numaralandırmak, dosyaları eklemek ve 7Z gibi araçları kullanarak sıkıştırma özellikleri ile donatılmıştır. Erişim ayrıca, aktör kontrollü bir sunucuya bağlanmaya çalışan bir metre-preser yükünü düşürmek için istismar edilmektedir (“222.253.102[.]94: 7979 “) Windows Socket aracılığıyla.
Web kabuğunun güncellenmiş varyantı, kritik bilgileri çıkarmak veya mevcut verileri değiştirmek için ağ taramasını, komut yürütmeyi ve SQL sorgularını çalıştırmak için çeşitli özellikler içerir.
XE Group tarafından monte edilen önceki saldırılar, bilinen güvenlik açıklarını silahlandırmış olsa da, ASP.NET (CVE-2017-9248 ve CVE-2019-18935, CVSS Puanları: 9.8) için Telerik UI’deki kusurlar, geliştirme işaretleri ilk kez hackleme cürcunun sofistike bir artış olduğunu gösteren sıfır gün sömürüsüne atfedildi.
Araştırmacılar Nicole Fishbein, Joakim Kennedy ve Justin Lentz, “İlk konuşlandırmadan yıllar sonra bir web kabuğunun yeniden etkinleştirilmesinde görüldüğü gibi, sistemlere sürekli erişimi sürdürme yetenekleri, grubun uzun vadeli hedeflere olan bağlılığını vurguluyor.” Dedi.
“Üretim ve dağıtım sektörlerindeki tedarik zincirlerini hedefleyerek, XE Group sadece operasyonlarının etkisini en üst düzeye çıkarmakla kalmaz, aynı zamanda sistemik güvenlik açıklarının akut bir anlayışını gösterir.”
2021 yılında İngiltere ve ABD devlet kurumları tarafından en çok sömürülen güvenlik açıklarından biri olarak işaretlenen CVE-2019-18935, geçen ay olduğu gibi bir ters kabuk yüklemek ve CMD aracılığıyla takip keşif komutlarını yürütmek için aktif sömürü altına girmiştir. .exe.
Esentir, “ASP.NET AJAX için Telerik UI’lik güvenlik açığı birkaç yaşında olsa da, tehdit aktörleri için uygun bir giriş noktası olmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Bu, özellikle internete maruz kalacaklarsa, yama sistemlerinin önemini vurgulamaktadır.”
CISA, Kev Kataloğuna 5 Kusur ekler
Geliştirme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif sömürü kanıtlarına dayanarak bilinen sömürülen güvenlik açıkları (KEV) kataloğuna beş güvenlik kusuru ekleyerek geliyor.
- CVE-2025-0411 (CVSS Puanı: 7.0) – Web Bypass Güvenlik Açığı 7 -Zip İşareti
- CVE-2022-23748 (CVSS Puanı: 7.8) – Dante Keşif Süreci Kontrolü Güvenlik Açığı
- CVE-2024-21413 (CVSS Puanı: 9.8) – Microsoft Outlook Uygunsuz Giriş Doğrulama Güvenlik Açığı
- CVE-2020-29574 (CVSS Puanı: 9.8) – Siberoamos (CROS) SQL enjeksiyon güvenlik açığı
- CVE-2020-15069 (CVSS Puanı: 9.8) – Sophos XG Güvenlik Duvarı Tampon Taşma Güvenlik Açığı
Geçen hafta, Trend Micro, Rus siber suç kıyafetlerinin, Ukraynalı varlıkları hedefleyen mızrak aktı kampanyalarının bir parçası olarak duman yükleyici kötü amaçlı yazılımları dağıtmak için CVE-2025-0411’den yararlandığını açıkladı.
Öte yandan, CVE-2020-29574 ve CVE-2020-15069’un sömürülmesi, Sophos tarafından Pasifik Rim’i altındaki Sophos tarafından izlenen bir Çin casusluk kampanyasıyla bağlantılıdır.
Şu anda kontrol noktası ile MonikerLink olarak da izlenen CVE-2024-21413’ün vahşi doğada nasıl kullanıldığı hakkında hiçbir rapor yok. CVE-2022-23748’e gelince, siber güvenlik şirketi, 2022’nin sonlarında Toddycat tehdit oyuncusunun Audinat Dante Discovery’de (“mdnsresonder.exe”) bir DLL yan yükleme kırılganlığından yararlandığını açıkladı.
Federal Sivil Yürütme Şubesi (FCEB) ajansları, 27 Şubat 2025’e kadar gerekli güncellemeleri, aktif tehditlere karşı korumak için Bağlama Operasyonel Direktifi (BOD) 22-01 altında uygulamakla zorunlu kılınmıştır.