Ocak 2023'ten bu yana siber suçlular, fırsatçı bir saldırıyla dünya çapında Zoho Corporation'ın ManageEngine yazılım çözümlerinin uygulamalarını hedefliyor. Siber suçlular, fidye yazılımı veya endüstriyel casusluğun potansiyel kurbanlarının bulunduğu geniş bir alana erişmek için otomatik taramalar kullanır.
Bitdefender Labs, telemetrilerindeki ilk saldırıları analiz etti. Yeni kampanya, daha yaygın fırsatçı, başlangıçta siber suçlular tarafından otomatik güvenlik açığı taramaları ve ardından hibrit hedefli saldırıların bir başka örneğidir. Saldırganların amacı, ek yükleri oynatmak veya endüstriyel casusluk başlatmak için uzaktan kod yürütmektir (Uzaktan Kod Yürütme – RCE). Dünya çapında İnternet erişimi olan yaklaşık 2.000 ila 4.000 sunucu potansiyel olarak etkilenmektedir. Bir yama şiddetle tavsiye edilir. ManageEngine, 10 ürünü etkileyen CVE-2023-2022 güvenlik açığı hakkındaki raporu 47966 Ocak 24'te yayınlamıştı.
Güvenlik açığı yaması mevcut
Zoho Corporation'ın kurumsal BT yönetimi bölümü olan ManageEngine, BT ortamlarını izlemek için kapsamlı bir gerçek zamanlı araçlar portföyü sunar. ManageEngine istismarı CVE-20-2023'ya yönelik saldırılar, 2022 Ocak 47966'ten bu yana dünya çapında artmaktadır. Bu Uzaktan Kod Yürütme (RCE), güvenliği ihlal edilmiş sistemlerin kimliği doğrulanmamış bir saldırgan tarafından tamamen ele geçirilmesine olanak tanır. Toplam 24 farklı ManageEngine ürünü savunmasızdır. Horizon3.ai ekibi tarafından belgelenen Kavram Kanıtı (PoC) ile iki ila dört bin internete bakan sunucu, potansiyel kurban olan ManageEngine sürümlerine sahiptir. XML çerçevesi Güvenlik Onayı Biçimlendirme Dili'nin (SAML) yapılandırılması gerektiğinden, bu PoC ile tüm sunuculara saldırılamaz.
Hibrit püskürt ve dua et saldırıları trend oluyor
Mevcut saldırılar, ölçeklenebilir küresel saldırılar başlatmak için artan bir eğilimin başka bir örneğidir. Başlangıç noktası, genellikle yayınlanan bir PoC'den sonra bir RCE güvenlik açığı için otomatik fırsatçı bir taramadır. Bu tür saldırılar zaten Microsoft Exchange, Apache veya VMware ESXI ortamlarını hedef almıştır. Taramada keşfedilen savunmasız sistemler daha sonra otomatik olarak tehlikeye atılır. Bu tür "sprey ve dua" taktiklerinin bir sonucu olarak, birçok şirket sistemlerini yamalasa bile, siber suçlular İnternet bağlantısı olan çok sayıda başka sunucuya saldırabilir.
Açılmamış risk potansiyeli
Yama uygulanmamış sistemlerde, saldırganlar daha sonra ek araçlar uygular. Güvenlik açıklarıyla ilgili bilgilerini satan ilk erişim aracıları, kalıcı uzaktan erişim için AnyDesk yazılımını başlatmaya çalıştı. Diğer durumlarda, failler yeni bir Buhti fidye yazılımı saldırısının yükünü oynadılar. Diğerleri, Cobalt Strike endüstriyel casusluk simülasyon aracını veya RAT el Red ekip aracını sızma testi için kullanmaya ve amaçları doğrultusunda onları yabancılaştırmaya çalıştı.
Saldırganlar genellikle PoC'yi yalnızca minimum düzeyde değiştirir. Sonuç olarak, bir saldırının ani etkisi başlangıçta yalnızca küçüktür. Bu nedenle birçok mağdur, yalnızca geçici onarımlar veya geçici çözümlerle tepki verir. Sistemler daha sonra başlangıçta bağışık olarak kabul edilir, ancak saldırganlar tarafından bir sonraki değişikliğe açıktır.
Şirketler sistemlerini acilen yamalamalı. IP adreslerinin, etki alanlarının veya URL'lerin itibarını değerlendiren çözümler de önemlidir. Genişletilmiş algılama ve müdahale yaklaşımları da yardımcı olur. Yönetilen algılama ve yanıt hizmetlerinden alınan harici yardım, bu tür saldırganlara karşı savunmayı da geliştirir.
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de