Giriş: Görünmez Tehdit “IdentityAuditAction”
Amazon’un güvenlik ekibi, siber saldırganların Cisco Identity Services Engine (ISE) ve Citrix NetScaler cihazlarındaki iki kritik sıfır gün (zero-day) açığını kullanarak sofistike bir casusluk operasyonu yürüttüğünü açıkladı.
Saldırganlar, sistemlere sızdıktan sonra IdentityAuditAction adında sahte bir Cisco dosyası oluşturarak, bunu diske kaydetmek yerine doğrudan bellek içinde (RAM) çalıştırdı. Bu yöntem, geleneksel antivirüs ve disk tarayıcılarının tehdidi görmesini imkansız hale getirdi.
🔍 Saldırının Teknik Analizi: Nasıl Çalışıyor?
Amazon’un MadPot bal küpü (honeypot) ağına takılan bu saldırı, iki aşamalı bir sızma ve yerleşme stratejisi izliyor.
1. Kullanılan Sıfır Gün Zafiyetleri
Saldırganlar, sistemlere girmek için henüz yamalanmamış veya yeni keşfedilen şu açıkları kullandı:
-
Citrix NetScaler (CVE-2025-5777) – “Citrix Bleed 2”:
-
CVSS Puanı: 9.3 (Kritik)
-
Yöntem: Yetersiz girdi doğrulama hatası sayesinde kimlik doğrulama mekanizmasını (Authentication Bypass) tamamen atlatıyor.
-
-
Cisco ISE (CVE-2025-20337):
-
CVSS Puanı: 10.0 (Tam Puan – Kritik)
-
Yöntem: Kimlik doğrulaması gerektirmeyen Uzaktan Kod Çalıştırma (Unauthenticated RCE). Saldırgan, işletim sistemi üzerinde root yetkileriyle komut çalıştırabiliyor.
-
2. “Hayalet” Malware: IdentityAuditAction
Saldırının en korkutucu kısmı, sisteme yerleştirilen web shell/backdoor’un doğasıdır:
-
Bellek İçi Çalışma: Zararlı yazılım diske yazılmıyor. Tamamen bellekte (in-memory) yaşıyor ve Java Reflection kullanarak çalışan işlemlere (threads) kendini enjekte ediyor.
-
Trafik Dinleme (Sniffing): Kendini meşru bir “Listener” (Dinleyici) olarak kaydediyor ve Tomcat sunucusu üzerindeki tüm HTTP isteklerini izliyor.
-
Gizlilik: Trafiği analiz ederken DES şifreleme ve standart olmayan Base64 kodlama kullanarak güvenlik duvarlarını atlatıyor.
📉 Kimler Risk Altında?
Bu saldırı, özellikle Ağ Erişim Kontrolü (NAC) ve Uygulama Teslim (ADC) altyapılarını hedef alıyor.
-
Cisco ISE kullanan kurumsal ağlar.
-
Citrix NetScaler ADC ve Gateway kullanan kuruluşlar.
Amazon’a göre saldırgan “yüksek kaynaklara sahip” (muhtemelen devlet destekli) ve kurumsal Java uygulamalarının iç yapısını çok iyi biliyor.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Hedef Sistemler | Cisco ISE, Citrix NetScaler |
| Kritik Zafiyetler | CVE-2025-5777 (Citrix), CVE-2025-20337 (Cisco) |
| Zararlı Yazılım | IdentityAuditAction (Memory-Resident Web Shell) |
| Saldırı Tipi | Sıfır Gün (Zero-Day), Dosyasız Saldırı (Fileless) |
| Risk Seviyesi | Kritik (CVSS 10.0) |
🛡️ Korunma Yöntemleri
Bu saldırı bellek tabanlı olduğu için tespit edilmesi çok zordur.
-
Acil Yama: Cisco ve Citrix bu açıklar için yama (patch) yayınladı. Sistemlerinizi Temmuz 2025 sonrası sürümlere güncellediğinizden emin olun.
-
Erişim Kısıtlama: Yönetim panellerine (Management Interface) internetten erişimi kesin. Sadece VPN veya güvenli jump-host’lar üzerinden erişim verin.
-
Bellek Analizi: Geleneksel antivirüsler bu tehdidi göremez. Bellek içi anormallikleri tespit edebilen gelişmiş EDR (Endpoint Detection and Response) çözümleri kullanın.
-
Trafik İzleme: Tomcat sunucularınızdan dışarıya giden şüpheli, şifreli (özellikle standart dışı Base64) trafikleri izleyin.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
