Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), SolarWinds Serv-U yazılımında bulunan ve yakın zamanda yamalanmış olan yüksek önem dereceli bir güvenlik açığının (CVE-2024-28995) saldırganlar tarafından aktif olarak istismar edildiğini bildirdi. Bu açık, özellikle Sunucu Hizmetleri için Serv-U FTP/SFTP yazılımını kullanan sistemlerde hizmet reddi (DoS) saldırılarına yol açarak sunucuların çökmesine neden olmaktadır. Güvenlik araştırmacıları, saldırganların bu açığı hedefli saldırılar için kullanmaya başladığını ve kurumsal ağlara sızmak amacıyla yanlılık saldırıları gerçekleştirdiğini doğruladı.
Güvenlik Açığının Tanımı ve Etkileri
Zafiyetin Teknik Detayları
CVE-2024-28995, SolarWinds Serv-U yazılımındaki uzak kod yürütme (RCE) ve hizmet reddi (DoS) yeteneklerine sahip bir yığın taşması (buffer overflow) açığıdır. Aşağıdaki bileşenlerde etkili olmaktadır:
- Serv-U FTP/SFTP Sunucusu (tüm sürümler, özellikle 15.4.2.165 ve öncesi)
- Serv-U Managed File Transfer (MFT) sunucuları
- Serv-U Gateway bileşeni
Açık, saldırganların özel hazırlanmış bir dizi komut veya dosya yükü göndererek hedef sistemde bellek bozulmasına neden olmalarına olanak tanır. Bu durum, aşağıdaki senaryolara yol açabilir:
- Sunucu Çökmesi: Serv-U hizmetinin aniden durmasına ve sistemin yeniden başlatılması gerektirmesine neden olur.
- Uzak Kod Yürütme: Saldırganlar, hedef sistemde istemci tarafında kod çalıştırabilir ve ayrıcalık yükseltme gerçekleştirebilir.
- Veri Sızıntısı: Sunucuda depolanan hassas verilerin açığa çıkması riski bulunmaktadır.
Etkilenen Sistemler ve Sektörler
Aşağıdaki sistemler ve sektörler bu açıktan yüksek oranda etkilenme riski taşımaktadır:
- Kurumsal Ağlar: Özellikle dosya aktarım hizmetleri sunan şirketler.
- Sağlık Sektörü: Hasta verilerinin güvenli bir şekilde aktarılmasını gerektiren kuruluşlar.
- Finansal Hizmetler: Bankalar ve ödeme sistemleri.
- Eğitim Kurumları: Öğrenci ve personel verilerinin yönetildiği sistemler.
Uyarı: CISA, bu açığın geniş çaplı istismar edildiğini ve saldırgan gruplarının (örneğin, APT29, APT41 gibi devlet destekli tehdit aktörlerinin) bu açığı yanlılık saldırıları için kullanmaya başladığını bildirmektedir. Kuruluşların ivedilikle yamaları uygulaması ve ek koruma önlemleri alması gerekmektedir.
Çözüm ve Koruma Adımları
Adım 1: Mevcut Sürümün Kontrolü ve Yama Uygulanması
Aşağıdaki adımlar izlenerek sistemlerinizin güvenlik durumu kontrol edilmelidir:
- SolarWinds Serv-U Sürümünün Kontrolü:
# Windows sistemler için: Get-ItemProperty -Path "HKLM:\SOFTWARE\WOW6432Node\SolarWinds\Serv-U" -Name "Version" # Linux sistemler için: dpkg -l | grep serv-u - Yeni Sürümün İndirilmesi: SolarWinds resmi web sitesinden en son yamalı sürüm indirilmelidir:
https://www.solarwinds.com/downloads - Yamanın Uygulanması:
# Windows: ServUDaemon.exe /stop ServUDaemon.exe /update ServUDaemon.exe /start # Linux: sudo systemctl stop serv-u sudo dpkg -i serv-u_.deb sudo systemctl start serv-u
Adım 2: Güvenlik Duvarı Kuralları ve Erişim Kontrolleri
Aşağıdaki güvenlik duvarı (firewall) kuralları uygulanmalıdır:
- Sadece Güvenilir IP'lerden Erişime İzin Ver:
# Windows Defender Firewall (PowerShell): New-NetFirewallRule -DisplayName "Serv-U FTP/SFTP - Güvenilir IP" -Direction Inbound -Action Allow -Protocol TCP -RemoteAddress -LocalPort 21,22,990 -Profile Any -Enabled True - Bilinmeyen Kaynaklardan Gelen Bağlantıları Engelle:
# iptables (Linux): iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
Adım 3: İzleme ve Olay Kaydı
Sistemlerinizin sürekli izlenmesi ve güvenlik olaylarının kaydedilmesi önemlidir. Aşağıdaki adımlar uygulanmalıdır:
- Windows Event Log'larının Kontrolü:
Get-WinEvent -LogName "Application" | Where-Object {$_.ProviderName -like "*Serv-U*"} | Select-Object -First 10 - Linux Syslog'unun Yapılandırılması:
# /etc/rsyslog.conf dosyasına aşağıdaki satır eklenmelidir: local0.* /var/log/serv-u.log # Serv-U hizmetinin yeniden başlatılması: sudo systemctl restart rsyslog - SIEM Entegrasyonu: Splunk, ELK Stack gibi araçlarla gerçek zamanlı uyarılar oluşturulmalıdır.
# Splunk için örnek sorgu: sourcetype="serv-u" | stats count by src_ip | sort -count
Adım 4: Yedekleme ve Kurtarma Planı
Olası bir saldırı durumunda sistemlerin hızlıca kurtarılabilmesi için aşağıdaki adımlar uygulanmalıdır:
- Düzenli Yedeklemelerin Alınması:
# Windows: wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet # Linux: sudo tar -czvf /backup/serv-u_backup_$(date +%Y%m%d).tar.gz /opt/serv-u/ - Yedeklerin Test Edilmesi: Yedeklerin düzenli olarak restore edilmesi ve çalışır durumda olduğundan emin olunmalıdır.
# Windows yedeğinin geri yüklenmesi: wbadmin start recovery -version:08/15/2024-02:30 -itemType:Volume -items:C: -recoveryTarget:E:
Ek Koruma Önlemleri
Sandbox Ortamında Test
Yamaların uygulanmadan önce test ortamında denenmesi önerilir. Bu, üretim sistemlerinde oluşabilecek sorunları önlemeye yardımcı olur.
İpucu: SolarWinds, Serv-U'nun test ortamında sanal makinelerde (VM) çalıştırılmasını ve gerçek kullanıcı senaryolarının simüle edilmesini önermektedir.
Çok Faktörlü Kimlik Doğrulama (MFA) Uygulanması
Serv-U yönetici hesaplarına MFA eklenmesi, yetkisiz erişimleri önlemek için kritik önem taşır.
# Windows Active Directory ile MFA entegrasyonu:
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00"}}') -DisplayName "Serv-U MFA Policy" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
Sonuç
CVE-2024-28995 gibi yüksek önem dereceli güvenlik açıkları, kuruluşların ivedilikle yamaları uygulaması ve ek koruma önlemleri alması gerektiğini göstermektedir. SolarWinds Serv-U kullanıcıları, aşağıdaki adımları takip ederek sistemlerini korumalıdır:
- Mevcut sürümün kontrolü ve yamanın uygulanması.
- Güvenlik duvarı kurallarının ve erişim kontrollerinin güçlendirilmesi.
- Sürekli izleme ve olay kaydı.
- Düzenli yedeklemelerin alınması ve kurtarma planının hazırlanması.
Bu adımların titizlikle uygulanması, saldırganların sistemleri çökertme veya veri sızıntısı gerçekleştirme girişimlerini büyük ölçüde azaltacaktır. Kuruluşlar, CISA ve SolarWinds'in resmi uyarılarını yakından takip etmeli ve güvenlik açıkları hakkında güncel bilgiler edinmelidir.
