Apache Web Sunucularını Hedef Alan Bir Saldırı Keşfedildi

Apache Web Sunucularını Hedef Alan Bir Saldırı Keşfedildi

     Apache Web sunucularına yapılan siber saldırılar son dönemde artış göstermekte. Bir güvenlik araştırmacısı da bu duruma dikkat çeken ve BT yöneticilerini uyaran bir makale kaleme aldı. Bu makaleye göre, keşfedilen yeni saldırı yönteminde HTTP talepleri değiştirilmiş bir httpd dosyası aracılığıyla Blackhole açığı istismar paketlerine yönlendirilmekte. Söz konusu makalede, Apache Web sunucularının konfigürasyon kontrolü için ücretsiz olarak yayınlanan bir Pyhton aracı da yer almakta.

     Pierre-Marc Bureau adlı güvenlik araştırmacısı tarafından yayınlanan makaleye göre, söz konusu saldırı vektörü oldukça sofistike bir biçimde hazırlanmış ve iz bırakmayacak şekilde tasarlanmış. HTTP taleplerini kötücül yazılım barındıran sitelere yönlendiren bu yazılım, kurbanlarını da hatırlayarak ikinci bir kez aynı yönlendirmeyi yapmıyor. Dolayısıyla da tespiti zorlaşıyor. Yönlendirmeler, orijinal URL'ye oldukça benzer oluyor ve base64 kodlu betikler sayesinde istemcinin talebiyle benzer uygulamalara yönlendirme yapılıyor. Yani istemci bir Javascript dosyası talebinde bulunmuşsa bu kaydedilip istemciye benzer bir URL yönlendirmesi yapılabiliyor.

     Yapılan açıklamaya göre, httpd dosyası dışında bu saldırıyla ilgili tüm dosyalar ve veriler, paylaşımlı hafızanın 6MB'lık bir bölümünde depolanıyor ve loglamanın önüne geçiliyor. Pierre-Marc Bureau'nun analizine göre saldırıda 23 farklı komut bulunduğu saptanmış. Bu komutlar, çerez başlığında “SECID=” yer alan sahte bir URL için çalıştırılan POST komutu ile çağrılıyormuş. Güvenlik araştırmacısı, istemcileri yönlendirmede kullanılan URL'lerin bu metotla arka kapı açığına gönderildiğini ve yönlendirme bilgisinin paylaşımlı hafızada kriptolu bir biçimde saklandığını açıklamakta.

     Bu yeni keşfedilen saldırı yönteminde yer alan komutlar sayesinde, saldırganın tespit edilmeyi engellemek için IP adreslerini kara listeye alabildiği, kullanıcı aracı istemcisini beyaz listeye sokabildiği ve yönlendirme koşullarını yeniden ayarlayabildiği söyleniyor. Bu yeni Apache Web sunucu saldırısıyla ilgili detaylı analizi aşağıdaki linki tıklayarak orijinal makaleden inceleyebilirsiniz.

[1]- Linux/Cdorked.A: New Apache backdoor being used in the wild to serve Blackhole