Array DesktopDirect’te Komut Enjeksiyonu Zafiyeti ve Ağustos 2025 Saldırıları

Array’ın uzak masaüstü erişim aracı DesktopDirect’te, kullanıcıların herhangi bir konumdan iş bilgisayarlarına bağlanmasını sağlayan bir komut enjeksiyonu zafiyeti ortaya çıktı. Bu güvenlik açığı, CVE numarası olmamasına rağmen 11 Mayıs 2025 tarihinde giderildi. Ancak Ağustos 2025’ten itibaren Japonya’da bu zafiyetin kullanıldığı aktif saldırılar tespit edildi.

Saldırının Genel Çerçevesi

Japonya merkezli güvenlik analistleri, 194.233.100[.]138 IP adresinden kaynaklanan saldırılarla DesktopDirect servislerinin hedef alındığını doğruladı. Saldırganlar, bu zafiyeti kullanarak hedef sistemlere rastgele komutlar enjekte edebiliyor ve web shell yerleştirebiliyor. Bu durum, uzaktan erişim sağlayan sistemlerin kontrolünün ele geçirilmesine yol açabilir.

Özellikle uzak masaüstü erişim protokollerinde (RDP) görülen bu tür komut enjeksiyonları, saldırganların sistem üzerinde tam hakimiyet kurmasına imkan tanır. Saldırı zincirinde, zafiyetin istismarı sonrası komut çalıştırma, kalıcı erişim için web shell yükleme ve veri sızıntısı gibi adımlar yer alabilir.

Hangi Sistemler Risk Altında?

ArrayOS 9.4.5.8 ve önceki sürümleri kullanan sistemler bu zafiyetten etkileniyor. Sorun, 9.4.5.9 sürümünde giderildi. DesktopDirect özelliği etkin olan iş istasyonları ve sunucular, özellikle kritik altyapı ve kurumsal ağlarda risk altında bulunuyor. Bu tür uzak erişim çözümleri, genellikle finans, sağlık ve kamu sektörlerinde yaygın kullanılıyor.

Saldırı Zinciri ve Teknik Detaylar

• Kullanılan araçlar ve yöntemler: Komut enjeksiyonu yoluyla rastgele komut çalıştırma, web shell yerleştirme.
• Hedef sektör ve bölge: Japonya’daki kurumsal ağlar ve kritik altyapılar.
• Zafiyet kodu: CVE tanımlaması yok ancak ArrayOS DesktopDirect modülünde.
• Saldırı adımları: 1) Uzak masaüstü servisine erişim, 2) Komut enjeksiyonu ile zararlı komut çalıştırma, 3) Web shell yükleyerek kalıcı erişim sağlama.
• Önerilen savunma: En kısa sürede 9.4.5.9 sürümüne güncelleme, DesktopDirect servislerinin geçici devre dışı bırakılması, URL filtreleme ile noktalı virgül içeren URL’lerin engellenmesi.

Siber Güvenlik Ekipleri İçin Öneriler

• ArrayOS sürümünüzü kontrol edin ve 9.4.5.9 veya üzeri sürüme yükseltin.
• DesktopDirect servisini kritik güncellemeler uygulanana kadar devre dışı bırakın.
• URL filtreleme politikalarınızda noktalı virgül içeren URL’leri engelleyin.
• EDR ve SIEM sistemlerinizde DesktopDirect ve ilgili ağ trafiği için anormal komut çalıştırma ve bağlantı aktivitelerini izleyin.
• Uzak masaüstü erişimlerinde çok faktörlü kimlik doğrulama (MFA) uygulayın.
• Olay müdahale planlarınızı güncelleyerek bu zafiyet istismarına karşı hazırlıklı olun.
• Loglarda DesktopDirect servis çağrılarını ve olağan dışı komutları düzenli olarak analiz edin.
• Ağ segmentasyonu ile kritik sistemlerin erişimini sınırlandırın.

Geçmişteki Benzer Tehditler ve Bağlantılar

Geçen yıl aynı ürün ailesinde Çin bağlantılı MirrorFace adlı siber casusluk grubunun kullandığı CVE-2023-28461 (CVSS 9.8) kimlik doğrulama atlatma açığı rapor edilmişti. MirrorFace, 2019’dan beri Japon kuruluşlarını hedef alıyor. Ancak şu an için bu grubun Ağustos 2025 saldırılarıyla bağlantısı bulunmamaktadır.

Bu tür zafiyetler, özellikle uzak erişim çözümlerinde ortaya çıktığında, e-posta güvenliği ve ağ segmentasyonu gibi diğer savunma katmanlarıyla desteklenmelidir. Ayrıca, bulut güvenliği ve IAM (Identity and Access Management) politikalarının güçlendirilmesi, saldırı yüzeyini azaltmada kritik rol oynar.