ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Adobe ColdFusion’da CVE-2023-26360 olarak tanımlanan kritik bir güvenlik açığından aktif olarak yararlanan bilgisayar korsanlarının devlet sunucularına erişim sağladıkları konusunda uyarıda bulundu.
İlgili güvenlik sorunu, Adobe ColdFusion 2018 Güncelleme 15 ve daha eski sürümleri ile 2021 Güncelleme 5 ve daha önceki sürümleri çalıştıran sunucularda rastgele kod yürütülmesine izin veriyor. Adobe, Mart ayı ortasında ColdFusion 2018 Update 16 ve 2021 Update 6’yı yayınlayarak sıfırıncı gün açığı sorununu çözse de bu güncellemeyi yüklemeyen kurumlar hala risk altında
O dönemde CISA, açıktan yararlanan tehdit aktörleri hakkında bir bildirim yayınlamış ve federal kuruluşları ve devlet hizmetlerini mevcut güvenlik güncellemelerini uygulamaya çağırmıştı. CISA dün yayınladığı bir uyarıda ise CVE-2023-26360’ın hala saldırılarda kullanıldığı konusunda uyarıyor ve Haziran ayında iki federal kurum sistemini etkileyen olayları örnek gösteriyor. CISA’dan yapılan açıklamada “Her iki olayda da Uç Nokta için Microsoft Defender (MDE), ajansın üretim öncesi ortamındaki halka açık web sunucularında bir Adobe ColdFusion güvenlik açığının potansiyel istismarı konusunda uyarıda bulundu. Her iki sunucu da çeşitli CVE’lere karşı savunmasız olan eski yazılım sürümlerini çalıştırıyordu” deniliyor.
Adobe ColdFusion açığı kullanılan iki farklı vaka örneği
CISA, tehdit aktörlerinin HTTP POST komutlarını kullanarak ColdFusion ile ilişkili dizin yoluna kötü amaçlı yazılım bırakmak için güvenlik açığından yararlandığını söylüyor. İlk olay 26 Haziran’da kaydedildi ve Adobe ColdFusion v2016.0.0.3 çalıştıran bir sunucuyu ihlal etmek için kritik güvenlik açığına dayanıyordu. Saldırganlar ağ kontrolleri ile birlikte süreç numaralandırması yapmış ve ColdFusion yapılandırma dosyasına kod eklemelerine ve kimlik bilgilerini çıkarmalarına olanak tanıyan bir web kabuğu (config.jsp) yüklemişlerdi. Saldırı faaliyetleri arasında, varlıklarını gizlemek için saldırıda kullanılan dosyaları silmek ve tespit edilmeden kötü amaçlı işlemleri kolaylaştırmak için C:\IBM dizininde dosyalar oluşturmak da vardı.
İkinci olay 2 Haziran’da, bilgisayar korsanlarının Adobe ColdFusion v2021.0.0.2 çalıştıran bir sunucuda CVE-2023-26360’ı istismar etmesiyle meydana geldi. Bu vakada saldırganlar, uzaktan erişim truva atı (d.jsp) olarak deşifre edilen bir metin dosyasını bırakmadan önce kullanıcı hesabı bilgilerini toplamıştı. Ardından hackerlar Kayıt Defteri dosyalarını ve güvenlik hesabı yöneticisi (SAM) bilgilerini dışarı sızdırmaya çalıştılar. Saldırganlar, her etki alanı denetleyicisinde bulunan özel bir dizin olan SYSVOL’a erişmek için mevcut güvenlik araçlarını kötüye kullandılar.
Her iki vakada da saldırılar, saldırganlar veri sızdıramadan önce tespit edilip engellenmişti. CISA’nın analizi ilgili saldırıları gerçek birer istismardan ziyade keşif çabaları olarak kategorize ediyor. Ancak her iki saldırının arkasında da aynı tehdit aktörünün olup olmadığı bilinmiyor. Riski azaltmak için CISA, ColdFusion’ın mevcut en son sürüme yükseltilmesini, ağ segmentasyonu uygulanmasını, bir güvenlik duvarı veya WAF kurulmasını ve imzalı yazılım yürütme politikalarının uygulanmasını öneriyor.
Siber saldırı ve veri ihlalleri artmaya devam ediyor
Son dönemde sıfırıncı gün açıkları ve saldırı vektörlerinin çeşitlenmesi, veri ihlali rakamlarının hızla artmasına neden oluyor. ABD’de bu yıl veri ihlal rekoru kırılırken, Türkiye’de ise 2023’ün ilk 6 ayında siber saldırı sayısı yarım milyonu geride bırakmıştı.
Siber güvenlik araştırmacıları, veri ihlallerindeki önemli artışın bir nedeni olarak başarılı Sıfırıncı Gün saldırılarının sayısındaki artışa işaret ediyor. ITRC, 2023’ün ilk üç çeyreğinde rapor edilen Zero-Day saldırılarının 2022’nin tamamına kıyasla 15 kattan fazla bir artış kaydettiğini belirtiyorlar. Ayrıca veri ihlali yaşayan kuruluşların şeffaflık eksikliği de artan bir endişe kaynağı.