1. Güvenlik Açığının Özeti
Progress Telerik UI for ASP.NET AJAX yazılımındaki CVE-2019-18935 kodlu güvenlik açığı, saldırganlar tarafından aktif olarak istismar edilmektedir. Bu açık, altı yıldır var olmasına rağmen hâlâ yamalanmamış sistemlerde ciddi güvenlik riskleri oluşturmaktadır. Zafiyet, Internet Information Services (IIS) sunucularında saldırganların uzaktan yetkisiz erişim sağlamasına ve komut çalıştırmasına olanak tanımaktadır.
2. Etkilenen Sürümler ve Teknik Detaylar
Bu güvenlik açığı, aşağıdaki yazılım ve sürümleri etkilemektedir:
| Yazılım | Etkilenen Sürüm |
|---|---|
| Telerik UI for ASP.NET AJAX | 2017.3.1026 ve öncesi |
Açığın Teknik Yapısı:
CVE-2019-18935, “Telerik.Web.UI.WebResource.axd” dosyasındaki dosya yükleme handler’ında bulunan bir hatadan kaynaklanmaktadır. Saldırganlar, bu dosyaya özel crafted (özel hazırlanmış) istekler göndererek, uzaktan shell yükleme işlemi gerçekleştirebilirler. Bu shell, “reverse shell” olarak çalışır ve saldırganla hedef sistem arasında bir bağlantı kurar. Bu bağlantı sayesinde saldırganlar:
- Kullanıcı Bilgilerini Toplayabilir:
net.exe,net1.exegibi araçlarla sistem kullanıcılarını listeleyebilir. - Komut Çalıştırabilir:
cmd.exekullanarak hedef sistemde keşif yapabilir. - Yetki Yükseltebilir: “JuicyPotatoNG” gibi araçlar ile sistem üzerinde daha yüksek yetkiler elde edebilir.
3. Saldırı Yöntemleri
Bu güvenlik açığının istismar edilme süreci şu şekilde işlemektedir:
- Dosya Yükleme Handler’ının Tespiti: Saldırgan, IIS sunucularında dosya yükleme handler’ını belirlemek için özel HTTP istekleri gönderir.
- PoC Kullanımı ve Reverse Shell Yükleme: Saldırgan, özel olarak hazırlanmış bir PoC (Proof-of-Concept) ile “reverse shell” yükler.
- Komut ve Keşif İşlemleri: Saldırgan, hedef sisteme bağlanarak komutlar çalıştırır ve keşif işlemleri yapar. Bu süreçte, aşağıdaki araçlar kullanılabilir:
- JuicyPotatoNG: Yetki yükseltme aracı.
- Batch Scriptler: Örneğin, “rdp.bat” ve “user.bat” gibi scriptler sisteme yerleştirilir. Bu scriptlerin tam işlevi henüz net olmamakla birlikte, genellikle sistemde uzun vadeli kontrol sağlamak amacıyla kullanılır.
4. Tespit ve İzleme
Bu tür saldırıları tespit etmek için aşağıdaki yöntemler önerilmektedir:
- Günlük Analizi: IIS günlüklerinde “Telerik.Web.UI.WebResource.axd” dosyasına yönelik şüpheli sorgular olup olmadığı kontrol edilmelidir.
- Yara Kuralları Kullanımı: Aşağıdaki Yara kuralı, reverse shell tespitinde kullanılabilir:
rule TCP_Reverse_Shell_Windows_x64 {
meta:
description = "Windows tabanlı 64-bit TCP reverse shell tespiti"
author = "YungBinary"
hash = "b971bf43886e3ab1d823477826383dfaee1e2935788226a285c7aebeabee7348"
strings:
$winsock = { 66 B? 02 00 FF 15 }
$cmd = { 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 FF 15 }
condition:
uint16(0) == 0x5a4d and
($winsock and $cmd)
}
5. Korunma Yöntemleri ve Öneriler
Bu güvenlik açığından korunmak için aşağıdaki adımlar atılmalıdır:
- Yama Yönetimi: Etkilenen sistemler, en son güvenlik yamaları ile güncellenmelidir.
- İzole Erişim: IIS sunucularına yalnızca güvenilir ağlardan erişim sağlanmalıdır.
- Endpoint Detection and Response (EDR): Tüm sistemlerde EDR çözümleri uygulanmalı ve reverse shell gibi şüpheli aktiviteler tespit edilmelidir.
- Log Analizi: IIS günlükleri düzenli olarak analiz edilmeli, şüpheli aktiviteler zamanında tespit edilmelidir.
6. Sonuç
CVE-2019-18935, altı yıl önce keşfedilmiş olmasına rağmen, yamalanmamış sistemlerde ciddi tehditler oluşturmaya devam etmektedir. Saldırganlar, bu tür eski açıkları kullanarak sistemlere sızmakta ve hassas verileri ele geçirmektedir. Bu nedenle, sistem yöneticileri ve güvenlik uzmanları, güvenlik yamalarını uygulama ve etkili izleme yöntemlerini hayata geçirme konusunda proaktif olmalıdır.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #CVE201918935
