Yazılar

Mayhem sadece Linux, BSD türevi sistemlere bulaşıyor

mayhem-sadece-linux-bsd-turevi-sistemlere-bulasiyorUNIX türevi sistemleri hedef alan yeni zararlı yazılım Mayhem kısıtlı bir kullanıcı hakkına sahip sistemlere bile bulaşabiliyor. Özellikle Avustralya’da yayılan zararlı yazılım her geçen gün aktivitesini çoğaltıyor.

Mayhem aslında bu yılın Nisan ayında keşfedilmişti. Özellikle root erişimi gerektirmemesi ve Linux türevi, FreeBSD sistemleri hedef alması onu farklı kılıyordu. Sistemlerin enfekte olması bir PHP scripti yardımıyla sağlanıyor. Komuta kontrol merkeziyle bu script iletişim kuruyor. Zararlı yazılımın işlevi ise hangi eklentilerin seçildiğine bağlı. Botmaster istediği fonksiyonları Mayhem’e yükleyebiliyor. Gizli dosya şeklinde farkedilmemeyi başarabiliyor.

Mayhem’in eklentileri arasında brute force yoluyla şifre kırmaya çalışan veya o anda ziyaretçiler web sitenizi gezerken belli başlı bilgileri tarayarak ileten çeşitli modülleri var. Aslında bu brute force yeteneği daha önce gerçekleştirilen Fort Disco saldırısının devamı gibi duruyor. Fort Disco vakasında 6 komuta kontrol sunucusu yardımıyla 25.000 enfekte olmuş Windows sistem çalışıyordu. Bu operasyona dair yazıya TerraMedusa Blog arşivinden ulaşabilirsiniz.

Şimdilik Mayhem’in bulaştığı 1400’ün üzerinde sistem tespit edildi. Bunlar ağırlıklı olarak ABD, Rusya, Almanya, Kanada, Avustraya, Yeni Zelanda’da bulunuyor. UNIX türevi sistemlerin kurulup unutulduğu bilinen bir gerçek. Mayhem bu şartlarda bakıldığında bulaştığı sistem üzerinden diğer sistemlere sızmaya çalışarak çok kısa sürede ciddi sayıda sistemi enfekte edebilir. Özellikle Türkiye’de orta ölçekli firmalar ve servis sağlayıcılar Mayhem gibi zararlı yazılımların yayılması için uygun bir zemin oluşturuyorlar.

Bulutta büyük panik

bulut_bilisim_guvenlik_sorunuXen hypervisorda bulunan, yeni açıklanan güvenlik açığı herhangi bir sanal sunucu sahibinin diğer sanal sunuculara erişebilmesini ve yönetici haklarıyla komut çalıştırabilmesini sağlıyor.

Salı günü Amerikan Bilgisayar Acil Müdahale Ekibi US-CERT tarafından açıklanan duyuruda 64 bit Xen hypervisor çalıştıran Intel işlemcili tüm sistemlerin bu zayıflıktan etkilendikleri belirtildi. Bu çok ciddi açık bulut bilişim güvenliği konusundaki tereddütleri arttırır nitelikte.

Xen projesinin yaptığı açıklamada yazılımın güncellenerek zayıflığın kapatıldığı söylendi. FreeBSD, Microsoft, NetBSD, Oracle, Red Hat ve Suse Linux gibi üreticiler Xen hypervisor açığına karşı yamaları ardı ardına yayınladılar. Apple, Intel ve VMware zayıflığın kendi ürünlerinde bulunmadığını doğruladı. Debian, Fedora Linux, Gentoo Linux, HP ve IBM ise henüz kendi ürünlerinden birinde bu zayıflık içeren yazılımın olup olmadığına dair bir açıklama yapmadı.

Redhat yayınladığı güvenlik bülteninde Redhat Enterprise Linux 5 işletim sisteminde güvenlik açığına sahip Xen hypervisor’ün olduğunu belirtti. Microsoft ise güvenlik duyurusunda Windows User Mode Scheduler’ın bu zayıflığa sahip olduğunu açıkladı.

Düşük enerji, maliyet, işlevsellik sağlayan bulut sistemleri pek çok kurum kullanıyor ya da kullanmayı planlıyor. Fakat veri merkezlerinde ortaya çıkabilecek veri sahipliği, güvenlik ve güvenilirlik sorunları gibi yasal meselelerden dolayı çekinenler de bulunuyor.