Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood yazma yetkiniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Please briefly explain why you feel this user should be reported.

Bilgisayar korsanları web kabuklarını bırakmak için şirket içi Zoho ServiceDesk istismarını kullanıyor

Bilgisayar korsanları web kabuklarını bırakmak için şirket içi Zoho ServiceDesk istismarını kullanıyor

Gelişmiş bir kalıcı tehdit (APT) grubu bir kusurdan yararlanma Zoho ManageEngine ADSelfService Plus yazılımı, başka bir Zoho ürününde farklı bir güvenlik açığından yararlanmaya dönerek açılmıştır.

Aktörün Zoho ServiceDesk Plus sürümlerinde 11305 ve daha eski sürümlerinde doğrulanmamış bir uzaktan kod yürütme sorunundan yararlandığı görülmüştür. ÖZGEÇMIŞ-2021-44077.

Aynı aktöre bağlı kampanya zaman çizelgesi
Aynı aktöre bağlı kampanya zaman çizelgesi
Kaynak: Unit42

Zoho, RCE kusuruna 16 Eylül 2021’de değindi ve 22 Kasım 2021’de şirket güvenlik danışma belgesi müşterileri etkin yararlanma konusunda uyarmak için. Ancak kullanıcılar güncellemede yavaş kaldı ve saldırılara karşı savunmasız kaldı.

Palo Alto Networks’ün Unit42’sinden gelen bir rapora göre, CVE-2021-44077 için kamuya açık bir kavram kanıtı istismarı yoktur, bu da ondan yararlanan APT grubunun istismar kodunu kendisinin geliştirdiğini ve şimdilik sadece kullandığını göstermektedir.

‘Godzilla’ web kabuğunun düşmesi için RCE’den yararlanma

Aktörler, REST API’sine biri yürütülebilir dosya (msiexec.exe) yüklemek ve diğeri yükü başlatmak için iki istek göndererek kusurdan yararlanır.

Bu işlem uzaktan yapılır ve güvenlik açığı bulunan ServiceDesk sunucusunda kimlik doğrulaması gerektirmez.

ServiceDesk yükü çalıştırdığında, bir mutex oluşturulur ve “.. /lib/tomcat/tomcat-postgres.jar,” ‘java.exe’ öldürdükten ve işlemi yeniden başlattıktan sonra ServiceDesk’e yüklenen ‘Godzilla’ web kabuğunun bir varyantı.

Araştırmacılara göre, aktör ADSelfService Plus kampanyasında görülen aynı webshell gizli anahtarını kullandı, ancak bu sefer bir Apache Tomcat Java Servlet Filtresi olarak yükleniyor.

Aktörün Tomcat filtresi
Aktörün Tomcat filtresi
Kaynak: Unit42

“Bu Godzilla web kabuğunun bir filtre olarak yüklenmiş olması, aktörün web kabuğuyla etkileşimde bulunurken isteklerini göndereceği belirli bir URL olmadığı anlamına gelir ve Godzilla webshell filtresi, webshell dosyalarına erişimi durdurmak için ServiceDesk Plus’ta bulunan bir güvenlik filtresini de atlayabilir” – okur Unit42’nin analizi

Araştırmacılar, “Tehdit aktörünün filtreyi oluşturmak için tomcat-backdoor adı verilen halka açık koddan yararlandığı ve daha sonra buna değiştirilmiş bir Godzilla web kabuğu eklediğı görülüyor.” diyor.

Palo Alto Networks, bu saldırıları Çinli APT27 grubuna (Emissary Panda) bağlayabilecek kanıtlar gördü. daha önce konuşlandırılmış Godzilla yüksek profilli hedeflere karşı, ancak ipuçları net ilişkilendirme için yetersizdir.

Kuruluşların Zoho yazılımlarını mümkün olan en kısa sürede düzeltme eki uygulamaları ve Ekim 2021’in başından bu yana ServiceDesk Plus dizinlerinde oluşturulan tüm dosyaları gözden geçirmeleri şiddetle tavsiye edilir.

Savunmasız yazılımların bulunduğu ülkeler
Savunmasız yazılımların bulunduğu ülkeler
Kaynak: Unit42

Şu anda, ağ taramaları ABD’de 600’den fazla savunmasız sistemi ve Hindistan, Rusya, İngiltere, Türkiye ve diğerlerinde 2.100’ü daha ortaya koyuyor.

Bu savunmasız dağıtımların çoğu devlet sistemlerinde, üniversitelerde, sağlık kuruluşlarında ve diğer kritik kuruluşlarda bulunur.

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.