bencede
New member
SANS Enstitüsünün İnternet Fırtına Merkezindeki (ISC) BT güvenlik uzmanları, savunmasız Apache NiFi örnekleri için yapılan taramalarda bir artış gözlemledi. Hızla yapılandırılan bir bal küpüyle, saldırganların yuva yapmasını ve kripto para madencilerini kurmasını izleyebilirler. Siber suçlular ayrıca kendilerini web’de daha da yaymaya çalıştılar.
Apache NiFi: “RTFM takip edilmedi” güvenlik açığı.
Apache NiFi, örneğin bir büyük veri platformunun parçası olarak farklı kaynaklardan ve farklı formatlardaki verileri hazırlamak ve birleştirmek için veri akışı otomasyonu için kullanılır. ISC IT araştırmacılarının analizlerinde açıkladığı gibi, saldırganlar belirli bir güvenlik açığını kötüye kullanmaya çalışmıyor. İnternet üzerinden erişilebilir olmak ve parola korumalı veya başka bir şekilde korunmamak için savunmasız sistemlere güveniyorlar.
En az bir kötü niyetli aktör, bu tür güvenli olmayan NiFi örnekleri için İnternet’i aktif olarak tarıyor. Gözlemlenen saldırgan, dijital para birimleri madenciliği yapmak için sunucunun bilgi işlem gücünü kötüye kullanan bir kripto madencisi kurdu. Ayrıca ağda daha fazla ilerlemek için sunucuları SSH oturum açma ayrıntıları için aradı.
Saldırganlar, virüs bulaşmış bir sisteme kalıcı olarak yerleşmek için saat işlemcileri ekler – bunlar, NiFi üzerinden aktarılan verileri manipüle etmeye yönelik talimatlardır. Ayrıca cron tablosu girişleri oluştururlar. Öte yandan, saldırı betiği diskte bitmez, sadece bellekte kalır.
Saldırganlar, savunmasız ve yanlış yapılandırılmış bir sistemde NiFi tarafından işlenen tüm verilere erişebilir. Ayrıca NiFi yapılandırmasını okuyabilir, düzenleyebilir veya silebilirsiniz. ISC, Apache NiFi kullanan BT yöneticilerine şu şekilde bir tavsiyede bulunur: “Kendinizi korumak için: Lanet Yönergeleri (RTFM) okuyun. NiFi belgeleri, parola belirleme sürecini açık ve basit bir şekilde açıklar.”
ISC araştırmacıları analizlerinde nasıl bir bal küpü oluşturduklarını ve saldırıları fark ettikten sonra onu nasıl gözlemlediklerini detaylandırıyorlar. Ayrıca bulunan komut dosyalarını analiz ederler ve saldırıların nasıl tespit edileceğine dair ipuçları sağlarlar. Ayrıca, kullanılan betikler için ağ adresleri veya hash değerleri gibi bir istila belirtileri (uzlaşma göstergeleri, IOC) toplarlar.
Geçmişte, geliştiriciler ayrıca Apache NiFi’ye güncellemelerde güvenlik geliştirmeleri sağladı.
(dmk)
Haberin Sonu
Apache NiFi: “RTFM takip edilmedi” güvenlik açığı.
Apache NiFi, örneğin bir büyük veri platformunun parçası olarak farklı kaynaklardan ve farklı formatlardaki verileri hazırlamak ve birleştirmek için veri akışı otomasyonu için kullanılır. ISC IT araştırmacılarının analizlerinde açıkladığı gibi, saldırganlar belirli bir güvenlik açığını kötüye kullanmaya çalışmıyor. İnternet üzerinden erişilebilir olmak ve parola korumalı veya başka bir şekilde korunmamak için savunmasız sistemlere güveniyorlar.
En az bir kötü niyetli aktör, bu tür güvenli olmayan NiFi örnekleri için İnternet’i aktif olarak tarıyor. Gözlemlenen saldırgan, dijital para birimleri madenciliği yapmak için sunucunun bilgi işlem gücünü kötüye kullanan bir kripto madencisi kurdu. Ayrıca ağda daha fazla ilerlemek için sunucuları SSH oturum açma ayrıntıları için aradı.
Saldırganlar, virüs bulaşmış bir sisteme kalıcı olarak yerleşmek için saat işlemcileri ekler – bunlar, NiFi üzerinden aktarılan verileri manipüle etmeye yönelik talimatlardır. Ayrıca cron tablosu girişleri oluştururlar. Öte yandan, saldırı betiği diskte bitmez, sadece bellekte kalır.
Saldırganlar, savunmasız ve yanlış yapılandırılmış bir sistemde NiFi tarafından işlenen tüm verilere erişebilir. Ayrıca NiFi yapılandırmasını okuyabilir, düzenleyebilir veya silebilirsiniz. ISC, Apache NiFi kullanan BT yöneticilerine şu şekilde bir tavsiyede bulunur: “Kendinizi korumak için: Lanet Yönergeleri (RTFM) okuyun. NiFi belgeleri, parola belirleme sürecini açık ve basit bir şekilde açıklar.”
ISC araştırmacıları analizlerinde nasıl bir bal küpü oluşturduklarını ve saldırıları fark ettikten sonra onu nasıl gözlemlediklerini detaylandırıyorlar. Ayrıca bulunan komut dosyalarını analiz ederler ve saldırıların nasıl tespit edileceğine dair ipuçları sağlarlar. Ayrıca, kullanılan betikler için ağ adresleri veya hash değerleri gibi bir istila belirtileri (uzlaşma göstergeleri, IOC) toplarlar.
Geçmişte, geliştiriciler ayrıca Apache NiFi’ye güncellemelerde güvenlik geliştirmeleri sağladı.
(dmk)
Haberin Sonu