Yazılar

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.

CEH sertifika otoritesi hacklendi

ceh-logoGodzilla takma adlı hacker, Certified Ethical Hacker (CEH) sertifikası dağıtıcısı otorite EC Council sistemlerini hackledi. Hacker’ın sızdığı EC Council’de eğitim materyalleri ve pek çok sertifikasyon programı ile ana eğitim materyallerine eriştiği belirlendi.

Godzilla’nın yayınladığı ekran görüntülerinde EC Council web sitesini hackledikten sonra WSO adlı web shell kodunu sunucuya göndererek çalıştırdığı görülüyor. Firmanın 2010 yılından beridir kullandığı Joomla CMS sistemini güncellemediği düşünülüyor. Ekran görüntüsündeki dosyalarda gözüken son değişim tarihleri de bunu doğrular nitelikte.

EC Council’in ana görevi bilişim sektörü profesyonellerine bilgi güvenliği ile ilgili eğitimler vermek ve hacklenmemeleri için gereken önlemleri almalarını sağlamak olarak özetlenebilir. CMS hacking olaylarının sık yaşandığı birkaç yıldır kendi sistemlerini kontrol edip güncellememiş olması ise metodolojinin ne kadar işler olduğuechack-052013-1 hakkında soru işaretlerini arttırdı.

EC Council’in kullandığı Joomla ise böyle kritik bir kurumda kullanılmayacak kadar kötü bir sicile sahip. CVE veritabanında yapılan sorguda Joomla’ya ait 629 güvenlik açığı ile karşılaşıyor. Bu rakam dışında epeyi bir açığın da 0day veritabanlarında listelendiği biliniyor.

Şimdi EC Council’in eğitim materyallerini kullanarak süreçlerini şekillendiren kimi devlet, kimi özel sektör temsilcilerinin sıkıntısı aynı. Eğitim içeriklerinin içerisine gizlenebilecek bir zararlı yazılımın ağlara sızabilme ihtimali. EC Council’in bu konu ile ilgili bir açıklaması bulunmuyor. Diğer yandan yıllardır CEH müfredatının çok geç güncellendiği, verilen eğitimlerin yüzeysel olduğu ve sertifikanın önemi üzerine tartışmalar sürerken kendini koruyamayan EC Council’in güvenliği sağlamaktan çok kurumlara zarar verip vermediği değerlendiriliyor.