Önem derecesi 9.8 olan 2 güvenlik açığından yararlanılıyor. 3. dokuma tezgahına

Önem derecesi 9.8 olan 2 güvenlik açığından yararlanılıyor.  3. dokuma tezgahına

Getty Resimleri

Bazılarının devlet destekli olduğuna inanılan kötü niyetli bilgisayar korsanları, hassas kurumsal ağlara arka kapılar, botnet yazılımı ve diğer kötü amaçlı yazılım türlerini bulaştırma umuduyla, her ikisi de olası 10 üzerinden 9.8’lik bir önem derecesine sahip iki bağımsız güvenlik açığından aktif olarak yararlanıyor.

Güvenlik araştırmacıları, devam eden saldırıların birden fazla VMware ürün serisinin ve F5’in BIG-IP yazılımının yama uygulanmamış sürümlerini hedeflediğini söyledi. Her iki güvenlik açığı da saldırganların tam kök sistem ayrıcalıklarıyla çalışan kötü amaçlı kod veya komutları uzaktan yürütmesine olanak tanır. Güvenlik açığı bulunan sunucuları belirlemeye ve sayılarını ölçmeye çalışan iyi huylu taramaların aksine, büyük ölçüde koordine olmayan istismarlar kötü niyetli görünüyor.

Birincisi: VMware

6 Nisan’da VMware, CVE-2022-22954 olarak izlenen bir uzaktan kod yürütme güvenlik açığını ve CVE-2022-22960 olarak izlenen bir ayrıcalık yükseltme hatasını açıkladı ve düzeltti. Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından Çarşamba günü yayınlanan bir tavsiyeye göre, “Kötü niyetli siber aktörler, 48 saat içinde bir istismar oluşturmak için güncellemeleri tersine çevirebildi ve yama uygulanmamış cihazlarda açıklanan güvenlik açıklarından hızla yararlanmaya başladı.”

CISA, aktörlerin, genellikle bir ulus devlet tarafından desteklenen sofistike ve iyi finanse edilen bilgisayar korsanlığı grupları için bir terim olan ileri düzeyde kalıcı bir tehdidin büyük olasılıkla parçası olduğunu söyledi. Bilgisayar korsanları bir cihazı ele geçirdikten sonra, en az üç kuruluşun ağına Dingo J-spy adlı bir web kabuğu yüklemek için kök erişimlerini kullanırlar.

“Güvenilir üçüncü taraf raporlarına göre, tehdit aktörleri bu güvenlik açıklarını zincirleyebilir. 12 Nisan 2022’de veya buna yakın bir tarihte, güvenliği ihlal edilmiş bir kuruluşta, web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir aktör, bir VMware kullanıcısı olarak herhangi bir kabuk komutunu çalıştırmak için CVE-2022-22954’ü kullandı.” “Oyuncu daha sonra kullanıcının ayrıcalıklarını root yetkisine yükseltmek için CVE-2022-22960’tan yararlandı. Kök erişimiyle, oyuncu günlükleri temizleyebilir, ayrıcalıkları yükseltebilir ve yan olarak diğer sistemlere geçebilir.

Bağımsız güvenlik araştırmacısı Troy Mursch, doğrudan bir mesajda yaptığı açıklamada, elde ettiği istismarların botnet yazılımı, web kabukları ve kripto madencileri için yükleri içerdiğini söyledi. CISA’nın önerisi, VMware’in iki yeni güvenlik açığını ifşa ettiği ve yamaladığı gün geldi. Güvenlik açıklarından biri olan CVE-2022-22972 de tahmin ettiğiniz gibi 9,8 önem derecesine sahiptir. Diğeri, CVE-2022-22973, 7,8 olarak derecelendirilmiştir.

Geçen ay düzeltilen VMware güvenlik açıkları için halihazırda devam eden istismarlar göz önüne alındığında, CISA “kötü niyetli siber aktörlerin, etkilenen aynı VMware’de yeni yayınlanan CVE-2022-22972 ve CVE-2022-22973 güvenlik açıklarından hızla yararlanma becerisi geliştirmesini beklediğini” söyledi. ürünlerden faydalanmak.

BIG-IP de ateş altında

Bu arada kurumsal ağlar, F5’ten bir yazılım paketi olan BIG-IP’de bulunan, önem derecesi 9.8 olan alakasız bir güvenlik açığı olan CVE-2022-1388’den yararlanan bilgisayar korsanlarının saldırısına uğruyor. Dokuz gün önce şirket, bilgisayar korsanlarının kök sistem ayrıcalıklarıyla çalışan komutları çalıştırmak için kullanabileceği güvenlik açığını açıkladı ve düzeltti. Güvenlik açığının kapsamı ve ölçeği, bazı güvenlik çevrelerinde şaşkınlık ve şoka neden olarak yüksek önem derecesi elde etti.

Birkaç gün içinde, açıklardan yararlanma kodu kamu malı haline geldi ve neredeyse hemen araştırmacılar, açıklardan yararlanma girişimlerini bildirdiler. Aktiviteyi siyah şapkalıların mı yoksa beyaz şapkalıların mı yürüttüğü o sırada belli değildi.

Bununla birlikte, son birkaç gün içinde araştırmacılar, istismarların önemli bir bölümünün kötü amaçlar için kullanıldığını gösteren binlerce kötü niyetli istek yakaladılar. Bir e-postada, güvenlik firması Greynoise’deki araştırmacılar şunları yazdı:

Bu istismarla yapılan istekler bir POST isteği gerektirdiğinden ve F5 Big-IP cihazında kimliği doğrulanmamış bir komut kabuğuna neden olduğundan, bu istismarı kullanan aktörleri kötü niyetli olarak sınıflandırdık. VPN’ler veya TOR çıkış düğümleri gibi anonimlik hizmetleri aracılığıyla tanınmış İnternet VPS sağlayıcılarına ek olarak bu istismarı kullanan aktörleri gözlemledik.

Güvenlik açığı bulunan cihazları bulmaya çalışan aktörlerin, bir POST isteği içermeyen veya F5 Big-IP tarayıcı etiketimizde kataloglanan bir komut kabuğuyla sonuçlanan, istilacı olmayan teknikleri kullanmasını bekliyoruz: https:// viz.greynoise.io/tag/f5-big-ip-tırtıl. Bu tarayıcı etiketi, CVE-2022-1388’in piyasaya sürülmesiyle ilgili trafikte bir artış gördü.

Mursch, BIG-IP istismarlarının aynı üçlü web kabuklarını, dağıtılmış hizmet reddi saldırılarını gerçekleştirmek için kötü amaçlı yazılımları ve yama uygulanmamış VMware makinelerine yapılan saldırılarda görülen kripto madencilerini yüklemeye çalıştığını söyledi. Örneğin, aşağıdaki resim, yaygın olarak tanınan DDoS kötü amaçlı yazılımını yüklemeye çalışan bir saldırıyı göstermektedir.

Troy Mursch

Aşağıdaki üç resim, korsanların, güvenliği ihlal edilmiş bir sunucuda depolanan şifreleme anahtarlarını ve diğer hassas veri türlerini arayan komutları çalıştırmak için güvenlik açığından yararlandığını göstermektedir.

Troy Mursch

Troy Mursch

Troy Mursch

SolarWinds ve Microsoft müşterilerine karşı kullanılan fidye yazılımı ve ulus devlet saldırı kampanyaları tehdidi göz önüne alındığında, bu güvenlik açıklarından kaynaklanan potansiyel hasar önemlidir. Yöneticiler, ağlarındaki bu güvenlik açıklarını araştırmaya öncelik vermeli ve buna göre hareket etmelidir. CISA, VMware ve F5’ten tavsiye ve rehberlik burada bulunabilir,
burada, burada ve burada.