Sıfır Gün Saldırısı Sophos Güvenlik Duvarını Geçemedi

Hackerlar sıfır gün güvenlik açığından istifade edebilmek için Sophos XG firewalla saldırmayı denedi, ancak Sophos, bu riskleri azaltan düzeltmelerin tamamlandığını açıkladı.

Hackerlar edinilen bilgilere göre ilk olarak sıfır gün güvenlik açığından yararlanarak network üzerinde bir Truva atı kurmaya çalıştılar, ancak Sophos’un açıklamasına göre burada başarılı olamayınca fidye yazılımına geçtiler.

Geçtiğimiz perşembe günü gerçekleşmiş olan bir güncellemede Sophos, düzeltme alan XG Firewall’ın, şirketin Ragnarok olarak tanımladığı fidye yazılımı da dahil olmak üzere saldırıları engelleyebileceğini belirtti. Bu kripto düşmanı kötü amaçlı yazılım ilk olarak Ocak ayında güvenlik firması FireEye’nin bir rapor yayınladığı ve operatörlerinin o sırada Citrix’in ADC ve Gateway sunucularındaki kusurlardan yararlanmaya çalıştıklarını fark etti.

Sophos, “Ragnarok diğer fidye yazılımlarından daha az yaygın bir tehdittir ve bu tehdit faktörünün  fidye yazılımını sunmak için kullandıkları araçların diğer birçok tehdit faktöründen oldukça farklı olduğu anlaşılmaktadır.” açıklamasını yaptı.

SQL Enjeksiyon Güvenlik Açığından Faydalanmaya Çalıştılar

Sophos, bu saldırıların ilk dalgasını, bilgisayar korsanlarının XG güvenlik duvarı ürünlerinde sıfır gün SQL enjeksiyon güvenlik açığından yararlanmaya çalıştığı 22-26 Nisan tarihleri arasında tespit etti.

CVE-2020-12271 olarak izlenen bu güvenlik açığı, saldırganların güvenlik duvarının yerleşik PostgreSQL veritabanı sunucusunu hedeflemesine müsaade etti. Sophos’a göre, bu hata, bilgisayar korsanlarının savunmasız ağlarda kötü amaçlı yazılım yerleştirmelerine olanak tanıyacak tek bir Linux kodu satırını veritabanlarına enjekte etmesine izin veriyordu.

Sophos’a göre saldırganlar, tehdit faktörlerinin kullanıcı adlarını çalmasını ve parola eklemesini sağlayan Asnarök adlı bir Truva atı kurmaya çalıştı.

Sophos analistleri, Nisan ayında ortaya çıkan saldırıları fark etmeye başladığında, şirket, bilgisayar korsanlarının bu güvenlik açığından yararlanmasını engellemek için müşterilerine geçici bir düzeltme yaptı. Şirket ayrıca müşterilerinin güvenlik duvarlarını yeniden başlatmasını ve yönetim ayarlarını ve şifrelerini değiştirmesini önerdi.

Kaynak: Sophos – Aktüel Sistem Bilgi Teknolojileri