01:34:36

Fidye Yazılımı Saldırganları 9.8 Önem Derecesine Sahip PHP Açığını Hızla Silah Olarak Kullanıyor

Güvenlik araştırmacıları, fidye yazılımı suçlularının PHP programlama dilinde bulunan ve web sunucularında kötü amaçlı kod çalıştıran, istismarı kolay bir güvenlik açığını hızla silah haline getirdiklerini söyledi. TellYouThePass grubu fırsatçı bir şekilde henüz güncelleme yapmamış sunuculara bulaşıyor…

Perşembe günü itibariyle, güvenlik firması Censys tarafından gerçekleştirilen internet taramalarında TellYouThePass olarak bilinen fidye yazılımı türünün bulaştığı 1.000 sunucu tespit edilirken, bu sayı Pazartesi günü tespit edilen 1.800 sunucuya kıyasla azaldı. Çoğunluğu Çin’de bulunan sunucular artık normal içeriklerini göstermiyor; bunun yerine birçoğu sitenin dosya dizinini listeliyor ve tüm dosyalara şifrelendiklerini gösteren bir .locked uzantısı verildiğini gösteriyor. Beraberinde gelen bir fidye notu şifre çözme anahtarı karşılığında yaklaşık 6,500 dolar talep ediyor.

Fırsat kapıyı çaldığında
CVE-2024-4577 olarak izlenen ve 10 üzerinden 9.8 önem derecesi taşıyan güvenlik açığı, PHP’nin Unicode karakterleri ASCII’ye dönüştürme biçimindeki hatalardan kaynaklanmaktadır. Best Fit olarak bilinen Windows‘ta yerleşik bir özellik, saldırganların kullanıcı tarafından sağlanan girdiyi ana PHP uygulamasına kötü amaçlı komutlar ileten karakterlere dönüştürmek için argüman enjeksiyonu olarak bilinen bir teknik kullanmasına olanak tanır. İstismarlar, saldırganların 2012 yılında PHP’de yamalanan kritik bir kod yürütme açığı olan CVE-2012-1823’ü atlamasına olanak tanır.

CVE-2024-4577, PHP’yi yalnızca CGI olarak bilinen ve bir web sunucusunun HTTP isteklerini ayrıştırdığı ve işlenmek üzere bir PHP betiğine aktardığı modda çalıştığında etkiler. Bununla birlikte, PHP CGI moduna ayarlanmamış olsa bile, php.exe ve php-cgi.exe gibi PHP yürütülebilir dosyaları web sunucusu tarafından erişilebilen dizinlerde olduğunda güvenlik açığından yararlanılabilir. Bu yapılandırma, varsayılan olarak kullanan XAMPP platformu haricinde son derece nadirdir. Ek bir gereklilik olarak, işletim sistemini kullanıcının yerel diline göre kişiselleştirmek için kullanılan Windows yerel ayarının Çince veya Japonca olarak ayarlanması gerektiği görülmektedir.

Kritik güvenlik açığı 6 Haziran’da bir güvenlik yamasıyla birlikte yayımlandı. Güvenlik firması Imperva‘dan araştırmacıların Pazartesi günü bildirdiğine göre, 24 saat içinde tehdit aktörleri TellYouThePass‘i yüklemek için bu açıktan yararlandı. Açıklar, saldırganın kontrolündeki bir sunucuda barındırılan bir HTML uygulama dosyasını çalıştırmak için mshta.exe Windows ikilisini kullanan kodu çalıştırdı. Bu ikilinin kullanımı, saldırganların normal, kötü niyetli olmayan faaliyetlerin arasına karışmak amacıyla yerel işletim sistemi işlevlerini ve araçlarını kullandıkları, arazide yaşamak olarak bilinen bir yaklaşıma işaret etmektedir.

Cuma günü yayımlanan bir yazıda Censys araştırmacıları, TellYouThePass çetesi tarafından gerçekleştirilen istismarın 7 Haziran’da başladığını ve yüksek profilli bir güvenlik açığının ardından savunmasız sistemler için fırsatçı bir şekilde İnternet’i toplu olarak tarayan ve erişilebilir herhangi bir sunucuyu ayrım gözetmeksizin hedef alan geçmiş olayları yansıttığını söyledi. Censys araştırmacıları bir e-postada, virüs bulaşan sunucuların büyük çoğunluğunun IP adreslerinin Çin, Tayvan, Hong Kong ya da Japonya’da bulunduğunu, bunun da muhtemelen Çin ve Japonya’nın savunmasız olduğu teyit edilen tek bölgeler olmasından kaynaklandığını belirtti.

O zamandan bu yana, fidye notunun ayırt edici dosya adlandırma kuralıyla birlikte sunucunun dosya sistemini gösteren bir açık dizin listesi sunan halka açık HTTP yanıtı gözlemlenerek tespit edilen virüslü sitelerin sayısı 8 Haziran’da 670’ten Pazartesi günü 1.800’e kadar dalgalandı.

Censys araştırmacıları bir e-postada, değişen sayılara neyin neden olduğundan tam olarak emin olmadıklarını söyledi.

“Bizim bakış açımıza göre, ele geçirilen ana bilgisayarların çoğu çevrimiçi kalıyor gibi görünüyor, ancak PHP-CGI veya XAMPP hizmetini çalıştıran bağlantı noktası yanıt vermeyi durduruyor – dolayısıyla tespit edilen enfeksiyonlarda düşüş var" diye yazdılar. “Dikkate alınması gereken bir başka nokta da, fidye notlarında listelenen tek Bitcoin adresine şu anda gözlemlenen herhangi bir fidye ödemesi olmamasıdır. Bu gerçeklere dayanarak, sezgimiz bunun muhtemelen bu hizmetlerin hizmet dışı bırakılmasının veya başka bir şekilde çevrimdışı olmasının bir sonucu olduğu yönündedir."

XAMPP üretimde mi kullanılıyor, gerçekten mi?
Araştırmacılar, gözlemlenen tehlikelerin yaklaşık yarısının XAMPP çalıştırdığına dair açık işaretler gösterdiğini, ancak tüm hizmetler hangi yazılımı kullandıklarını açıkça göstermediğinden bu tahminin muhtemelen düşük bir sayı olduğunu söylemeye devam ediyorlar.

Araştırmacılar, “XAMPP’nin varsayılan olarak savunmasız olduğu göz önüne alındığında, virüs bulaşmış sistemlerin çoğunun XAMPP çalıştırdığını tahmin etmek mantıklıdır" diyorlar. Bu Censys sorgusu, platformu açıkça etkileyen enfeksiyonları listeliyor. Araştırmacılar, XAMPP dışında tehlikeye atılmış belirli bir platformdan haberdar değiller – en azından şimdilik.

Güvenlik firması Analygence‘ın kıdemli güvenlik açığı analistlerinden Will Dormann, XAMPP sunucularının ele geçirilmesinin sürpriz olduğunu, çünkü XAMPP‘yi geliştirenlerin yazılımlarının üretim sistemleri için uygun olmadığını zaten açıkça söylediklerini belirtiyor.

Çevrimiçi bir röportajda “Üretim için uygun olmayan yazılımları çalıştırmayı seçen insanlar bu kararlarının sonuçlarıyla uğraşmak zorunda" diye yazdı.

XAMPP güvenlik açığına sahip olduğu doğrulanan tek platform olmasına rağmen, PHP’yi herhangi bir Windows sisteminde çalıştıran kişilerin güncellemeyi mümkün olan en kısa sürede yüklemesi gerekiyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…