Confluence ve Azure'daki güvenlik açıkları

Uzaktan Kod Yürütme (RCE), saldırganın konsola doğrudan erişimi olmayan bir bilgisayar sisteminde rasgele kod yürütmesidir. Uzaktaki bir bilgisayar korsanı, güvenlik açıklarından yararlanarak sistemin tam denetimini ele geçirebilir. Confluence ve Azure'daki güvenlik açıklarında durum budur.

Örneğin, güvenlik açığı bulunan bir yazılım sürümüne sahip bir uç noktaya erişimi olan herhangi bir kullanıcı, bir yetkilendirme başlığı gerektirmeden bir HTTP isteği yoluyla rastgele komutlar yürütebilir. Bu isteğe beklenen yanıt, 401 "Yetkisiz" yanıt sayfası olacaktır. Ancak, kullanıcı komutları "root" ayrıcalıklarıyla çalıştırabilir. Bu tehditler, 2017'deki Equifax saldırısı sırasında zaten tespit edilmişti.

Yakın zamanda ortaya çıkarılan iki güvenlik açığı, bu tür saldırılardaki en son gelişmelerdir: Atlassian Confluence OGNL enjeksiyon güvenlik açığı ve Azure Açık Yönetim Altyapısını (OMI) etkileyen bir güvenlik açığı. Barracuda güvenlik araştırmacıları, Ağustos ve Eylül 45'de 2021 günlük bir süre boyunca bu güvenlik açıklarından yararlanmaya çalışan saldırıları analiz etti ve 500'den fazla benzersiz saldırgan IP'sinden kaynaklanan saldırı artışlarını belirledi. Aşağıda bu güvenlik açıklarına, son saldırı modellerine ve kuruluşların bu tür saldırılara karşı korunmak için kullanabileceği çözümlere daha yakından bakılmaktadır.

Ayrıntılı olarak Confluence ve Azure güvenlik açıkları

1. Atlassian Confluence OGNL enjeksiyon güvenlik açığı

Atlassian Confluence OGNL Injection güvenlik açığı ilk olarak 25 Ağustos 2021'de Atlassian tarafından açıklandı. Kısa bir süre sonra Ulusal Güvenlik Açığı Veritabanına (CVE-2021-26084) eklendi. Bu güvenlik açığı, tehdit aktörlerinin yetkilendirme başlığı olmadan Confluence şablon motorunu kullanarak bir "POST" isteği göndermesine olanak tanır. Bu, tehdit aktörüne sisteme "kök" erişim sağlar. Saldırganlar, Java kodunu "queryString" ve "linkCreation" parametreleri aracılığıyla enjekte edebilir.

Atlassian, "Confluence Server ve Data Center'ın sabit sürümlerden önceki tüm sürümlerinin bu güvenlik açığından etkilendiğini" duyurdu. birçok Confluence kullanıcısının hâlâ yazılımın güvenlik açığı bulunan bir sürümüne sahip olması.

2. Azure Açık Yönetim Altyapısında (OMI) güvenlik açığı

Azure, 2021 Eylül 38647'de CVE-15-2021'yi yayımladı. Bu güvenlik açığı, Azure Açık Yönetim Altyapısını (OMI) etkiler. Azure OMI, sessizce önceden yüklenmiş ve bulut ortamlarında dağıtılan bir yazılım aracısıdır. Bu sessiz yükleme, artık Azure müşterilerini, sistemlerini OMI'nin en son sürümüne yükseltene kadar risk altına sokuyor.

Saldırganlar, OMI trafiğini dinleyen bağlantı noktalarından birine (bağlantı noktaları 1270/5985/5986) özel hazırlanmış bir HTTPS mesajı göndererek bu sistemleri hedefler ve saldırganın bilgisayara ilk erişimini sağlar. Saldırgan tarafından gönderilen komutlar, SCXcore hizmeti tarafından yürütülerek saldırganın güvenlik açıklarından yararlanmasına olanak tanır. Saldırgan, bilgisayara, OMI sunucusunun güvendiği ve saldırgana sisteme "kök" erişim izni veren, yetkilendirme başlığı olmadan bir komut verebilir. Microsoft, blogunda şöyle açıkladı: "ExecuteShellCommand RunAsProvider, /bin/sh kabuğu aracılığıyla herhangi bir UNIX/Linux komutunu çalıştırır."

Saldırganlar tam olarak güvenlik açığını hedefler

Eylül ortasından itibaren Barracuda sistemlerinden gelen verileri analiz eden Barracuda güvenlik araştırmacıları, bu güvenlik açığından yararlanmaya çalışan saldırganların sayısında keskin bir artış fark ettiler. 18 Eylül'deki ilk ani artışın ardından, saldırı girişimlerinin sayısı azaldı, ancak bu artış devam etti ve zamanla düzeldi.

Barracuda'nın Ağustos ve Eylül aylarındaki 45 günlük dönemdeki saldırı analizi, Atlassian Confluence güvenlik açığından yararlanmaya çalışan 550 benzersiz saldırgan IP'si ve Azure OMI güvenlik açığından yararlanmaya çalışan 542 benzersiz saldırgan IP'si keşfetti. Her IP'nin arkasında birden çok saldırgan vardı, bu da saldırı sayısının IP sayısından önemli ölçüde yüksek olduğu anlamına gelir. Araştırmacılar, müşteri parmak izi ve diğer teknikleri kullanarak bu bilgiyi ortaya çıkardı.

Analiz, çoğu saldırgan IP'sini gösterir

Yukarıdaki ısı haritasından da görülebileceği gibi, çoğu saldırgan IP'si Alaska dahil ABD'de bulunuyor. Bunun nedeni, sunucu çiftliklerinin çoğunun bu bölgelerde yer alması olabilir. Rusya, İngiltere, Polonya ve Hindistan gibi ülkelerden de saldırılar gönderildi. Dünyanın dört bir yanındaki saldırganlar bu güvenlik açıklarından yararlanmaya çalışıyor ve kuruluşların web uygulamalarını korumak için her zaman önde olmaları gerekiyor.

İşletmeler web uygulamalarını korumalıdır

Web uygulamalarındaki güvenlik açıklarının sayısının artması nedeniyle, saldırılara karşı savunma yapmak giderek daha karmaşık hale geliyor. Ancak artık web uygulamalarını bu güvenlik açıklarından yararlanmaya karşı koruyan eksiksiz çözümler var. WAAP (Web Uygulaması ve API Koruması) hizmetleri olarak da bilinen WAF/WAF-as-a-Service çözümleri, en son güvenlik çözümlerinin tümünü kullanımı kolay tek bir üründe sağlayarak web uygulamalarının korunmasına yardımcı olabilir.

Uzaktan çalışan birçok çalışan ve çevrimiçi birçok uygulama ile, bir Hizmet olarak WAF veya WAAP çözümüne duyulan ihtiyaç hiç bu kadar büyük olmamıştı. Bu nedenle işletmelerin bot azaltma, DDoS koruması ve API güvenliği içeren bir çözüme sahip olduklarından emin olmaları gerekir.

Daha fazlası Barracuda.com'da

 

---

Barracuda Ağları Hakkında

Barracuda, dünyayı daha güvenli bir yer haline getirmek için çabalıyor ve her işletmenin satın alması, devreye alması ve kullanması kolay, bulut özellikli, kurumsal çapta güvenlik çözümlerine erişimi olması gerektiğine inanıyor. Barracuda, müşteri yolculuğu boyunca büyüyen ve uyum sağlayan yenilikçi çözümlerle e-postayı, ağları, verileri ve uygulamaları korur. Dünya çapında 150.000'den fazla şirket, işlerini büyütmeye odaklanabilmek için Barracuda'ya güveniyor. Daha fazla bilgi için www.barracuda.com adresini ziyaret edin.

---

 

Konuyla ilgili makaleler