Interlock Fidye Yazılımı Cisco FMC Sıfır Gün Açığını Kök Erişim İçin Kullanıyor

Anasayfa » Interlock Fidye Yazılımı Cisco FMC Sıfır Gün Açığını Kök Erişim İçin Kullanıyor
Ransomware, Siber Tehditler, Zafiyetler
Mart 19, 2026Mart 19, 2026Tarafından Cybernews.TR
0
Interlock Fidye Yazılımı Cisco FMC Sıfır Gün Açığını Kök Erişim İçin Kullanıyor

Saldırının Genel Çerçevesi

Interlock fidye yazılımı kampanyası, Cisco Secure Firewall Management Center (FMC) yazılımında bulunan kritik bir sıfır gün açığını (CVE-2026-20131) istismar ederek, kimlik doğrulaması yapılmadan uzaktan kök erişimi sağlıyor. Bu açıklık, kullanıcı tarafından sağlanan Java byte stream verisinin güvensiz şekilde serileştirilmesinden kaynaklanıyor ve saldırganların hedef sistemde rastgele Java kodu çalıştırmasına olanak tanıyor. İlk istismar 26 Ocak 2026 tarihinde tespit edilmiş olup, Cisco tarafından açıklanmasından önce aktif olarak kullanılmıştır.

Saldırı Zinciri ve Teknik Detaylar

Saldırı, belirli HTTP istekleri aracılığıyla hedef FMC yazılımında rastgele Java kodu çalıştırmayı hedeflemektedir. Başarılı istismar sonrası ele geçirilen sistem, saldırgan kontrolündeki harici bir sunucuya HTTP PUT isteği göndererek istismar doğrulaması yapar. Ardından, uzak sunucudan ELF ikili dosyaları indirilir ve Interlock ile bağlantılı çeşitli araçlar çalıştırılır. Bu araçlar arasında PowerShell keşif betikleri, JavaScript ve Java ile yazılmış özel uzaktan erişim trojanları, Linux tabanlı HTTP ters proxy betikleri ve bellek tabanlı web kabukları yer almaktadır.

PowerShell keşif betiği, Windows ortamında işletim sistemi bilgileri, çalışan servisler, yüklü yazılımlar, Hyper-V sanal makineler, kullanıcı dosyaları ve tarayıcı verileri gibi kapsamlı bilgiler toplar. Trojanlar, çift yönlü dosya transferi, komut çalıştırma ve SOCKS5 proxy gibi yeteneklere sahiptir. Ayrıca, fail2ban ve HAProxy kullanılarak Linux sunucuları ters proxy olarak yapılandırılır ve altyapı temizleme betikleri ile loglar agresif şekilde silinir.

Siber Güvenlik Ekipleri İçin Öneriler

  • Yamaları mümkün olan en kısa sürede uygulayın ve CVE-2026-20131 için Cisco tarafından yayınlanan güncellemeleri takip edin.
  • FMC sistemlerinde kimlik doğrulama ve erişim kontrollerini güçlendirin, mümkünse Zero Trust prensiplerini uygulayın.
  • EDR ve SIEM çözümleriyle anormal Java süreçlerini ve ağ trafiğini izleyin.
  • ScreenConnect ve benzeri uzaktan erişim araçlarının yetkisiz kurulumlarını düzenli olarak denetleyin.
  • PowerShell ve komut kabuğu aktivitelerini detaylı loglayarak şüpheli keşif faaliyetlerini tespit edin.
  • Ağ segmentasyonu ile kritik FMC sistemlerini diğer ağ bileşenlerinden izole edin.
  • Olay müdahale (incident response) planlarınızı güncelleyerek sıfır gün saldırılarına karşı hazırlıklı olun.
  • Güvenlik duvarı kurallarını gözden geçirerek, gereksiz dış erişimleri kısıtlayın.

Teknik Özet

  • Kullanılan araçlar: PowerShell keşif betiği, JavaScript/Java tabanlı uzaktan erişim trojanları, fail2ban, HAProxy, bellek tabanlı web kabukları, ConnectWise ScreenConnect, Volatility Framework.
  • Hedef sistemler: Cisco Secure Firewall Management Center (FMC) yazılımı.
  • Kullanılan zafiyet: CVE-2026-20131 (Java byte stream serileştirme açığı, CVSS 10.0).
  • Saldırı zinciri: 1) Özel HTTP istekleri ile Java kodu yürütme, 2) İstismar doğrulama için harici sunucuya HTTP PUT, 3) ELF dosyalarının indirilmesi ve zararlı araçların çalıştırılması.
  • Önerilen savunma: Hızlı yama uygulaması, kapsamlı erişim kontrolü, EDR ve SIEM entegrasyonu, ağ segmentasyonu, uzaktan erişim araçlarının denetimi.

Güncel Tehdit Eğilimleri ve Bağlam

Bu saldırı, fidye yazılımı aktörlerinin giderek daha karmaşık ve çok aşamalı saldırı zincirleri kullanmaya başladığını gösteriyor. Özellikle sıfır gün açıklarının erken aşamada keşfedilmesi ve yamaların uygulanması kritik önem taşıyor. Ayrıca, saldırganların Linux tabanlı ters proxy ve agresif log temizleme teknikleri kullanması, olay müdahale süreçlerini zorlaştırıyor. Fidye yazılımı gruplarının operasyonel araç setlerini yanlış yapılandırılmış altyapı sunucuları üzerinden açığa çıkarması, tehdit istihbaratında yeni yaklaşımlar gerektiriyor.

Son raporlar, fidye yazılımı aktörlerinin VPN ve güvenlik duvarı açıklarını ilk erişim için hedef aldığını, Windows’un yerleşik yeteneklerine daha çok güvendiklerini ve malvertising ile SEO taktikleriyle kötü amaçlı yazılım dağıttıklarını ortaya koyuyor. Bu nedenle, e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda kapsamlı önlemler alınması önem kazanıyor.

, , , , , , ,