SolarWinds Web Help Desk İstismarında 3 Kritik Aşama ve Kalıcılık Taktikleri

Anasayfa » SolarWinds Web Help Desk İstismarında 3 Kritik Aşama ve Kalıcılık Taktikleri
APT, Olay Müdahale, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
SolarWinds Web Help Desk İstismarında 3 Kritik Aşama ve Kalıcılık Taktikleri

Microsoft Defender Güvenlik Araştırma Ekibi, Aralık 2025’te başlayan ve SolarWinds Web Help Desk (WHD) uygulamasındaki kritik güvenlik açıklarının istismar edildiği çok aşamalı saldırılar tespit etti. Bu saldırılar, internet erişimine açık WHD örneklerini hedef alarak ilk erişimi sağlıyor ve ardından kurum içi ağlarda yüksek ayrıcalıklı hesaplara erişim için yatay hareket gerçekleştiriyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırganlar, CVE-2025-40551 (CVSS 9.8) ve CVE-2025-40536 (CVSS 8.1) gibi yakın zamanda açıklanmış zafiyetlerin yanı sıra, daha önce yamalanmış CVE-2025-26399 (CVSS 9.8) açıklarını da kullanıyor olabilir. CVE-2025-40551 ve CVE-2025-26399, uzaktan kod yürütmeye olanak veren güvenilmeyen veri serileştirme açıklarıdır. CVE-2025-40536 ise kimlik doğrulaması gerektirmeyen bir güvenlik kontrolü atlatma zafiyetidir.

Başarılı istismar sonrası, saldırganlar WHD servisi bağlamında PowerShell kullanarak Background Intelligent Transfer Service (BITS) üzerinden kötü amaçlı yazılımlar indirip çalıştırıyor. Bu aşamada Zoho ManageEngine bileşenleri kullanılarak kalıcı uzaktan erişim sağlanıyor. Ayrıca, ters SSH ve RDP bağlantıları ile kalıcılık sağlanmaya çalışılıyor, sistem başlangıcında SYSTEM hesabı altında QEMU sanal makinesi başlatmak için zamanlanmış görevler oluşturuluyor. Bu yöntem, sanallaştırılmış ortamda izleri gizleyerek port yönlendirme ile SSH erişimini açmayı hedefliyor.

Ek olarak, bazı sistemlerde Windows Adres Defteri ile ilişkili meşru “wab.exe” yürütülebilir dosyası kullanılarak DLL yan yükleme saldırısı gerçekleştiriliyor. Bu sayede kötü amaçlı “sspicli.dll” çalıştırılarak LSASS belleği dökülüyor ve kimlik bilgileri ele geçiriliyor. En az bir vakada DCSync saldırısı yapılarak Active Directory veritabanından parola karmaları ve diğer hassas bilgiler talep edildi.

Huntress Araştırması ve Gelişmiş Kalıcılık Taktikleri

8 Şubat 2026’da yayımlanan bir raporda, Huntress adlı siber güvenlik firması, saldırganların Zoho Meetings, Cloudflare tünelleri ve Velociraptor adlı meşru adli bilişim aracını komut ve kontrol (C2) için kullandığını ortaya koydu. Velociraptor 0.73.4 sürümü, bilinen bir ayrıcalık yükseltme açığı (CVE-2025-6264) içeren eski bir sürüm olarak dağıtıldı.

Saldırganlar, Zoho ManageEngine RMM ile uzak MSI yüklemesi yapıp Zoho Assist ajanını Proton Mail adresine kayıt ettirdi. Alan keşfi için Active Directory komutları kullanıldı, Cloudflared ile ek tünel tabanlı erişim kanalları oluşturuldu. Windows Defender ve Güvenlik Duvarı kayıt defteri değişiklikleriyle devre dışı bırakıldı. Velociraptor ajanı için canlı C2 yedekleme mekanizması kuruldu; orijinal Cloudflare domaini algılanırsa farklı sunucuya bağlanacak şekilde yapılandırıldı. Kalıcılık için QEMU kullanılarak SSH arka kapısı açan zamanlanmış görevler oluşturuldu.

Huntress araştırmacıları, Velociraptor sunucu URL’sinin daha önce ToolShell istismarı ve Warlock fidye yazılımı dağıtımı içeren saldırılarda kullanılan aynı Cloudflare hesabına ait olduğunu belirtti. Saldırgan taktikleri direktörü Jamie Levy, bu saldırıların Warlock fidye yazılımı grubunun faaliyetleriyle benzerlikler taşıdığını ve bazı müşterilerin fidye ödediğinin tespit edildiğini ifade etti.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • SolarWinds WHD uygulamalarını ve ilgili bileşenleri derhal en güncel yamalarla güncelleyin (bkz. CVE-2025-40551, CVE-2025-40536, CVE-2025-26399).
  • Yetkisiz uzak yönetim araçlarını tespit etmek için SIEM ve EDR çözümlerinde Zoho ManageEngine, Velociraptor ve Cloudflared gibi araçların kullanımını izleyin.
  • Active Directory ortamında DCSync ve benzeri saldırı tekniklerine karşı denetim ve uyarı kuralları oluşturun.
  • PowerShell komutlarını ve BITS trafiğini davranış tabanlı analizlerle izleyin; anormal dosya indirme ve çalıştırma aktivitelerini tespit edin.
  • SSH ve RDP erişimlerini sıkılaştırın, mümkünse çok faktörlü kimlik doğrulama (MFA) uygulayın ve port yönlendirme ile açılan tünelleri engelleyin.
  • Zamanlanmış görevlerde olağandışı QEMU veya benzeri sanal makine başlatma komutlarını kontrol edin.
  • DLL yan yükleme saldırılarına karşı özellikle “wab.exe” gibi meşru uygulamaların davranışlarını izleyin ve LSASS bellek döküm aktivitelerini engelleyin.
  • İhlal sonrası sistemleri izole edin, servis ve yönetici hesaplarını yeniden oluşturun ve kapsamlı olay müdahale (incident response) süreçlerini başlatın.

Teknik Özet

  • Kullanılan araçlar ve zararlılar: PowerShell, BITS, Zoho ManageEngine, Velociraptor, Cloudflared, QEMU, kötü amaçlı DLL (sspicli.dll).
  • Hedef sektörler: Kurumsal ağlar, kamu kurumları ve kritik altyapılar (özellikle ABD merkezli).
  • Kullanılan zafiyetler: CVE-2025-40551, CVE-2025-40536, CVE-2025-26399, CVE-2025-6264.
  • Saldırı zinciri: 1) İnternet erişimli WHD örneğinin istismarı, 2) PowerShell ve BITS ile kötü amaçlı yazılım indirme ve yürütme, 3) Kalıcılık için Zoho bileşenleri ve ters SSH/RDP erişimi.
  • Önerilen savunma: Güncelleme, segmentasyon, MFA, davranış tabanlı tespit, EDR ve SIEM entegrasyonu.

Bu saldırı dizisi, güncellenmemiş uygulamaların ve zayıf izleme mekanizmalarının kurum ağlarında tam alan ele geçirmeye yol açabileceğini gösteriyor. Siber güvenlik ekiplerinin, e-posta güvenliği, ağ segmentasyonu ve bulut güvenliği gibi alanlarda bütüncül yaklaşımlar geliştirmesi kritik önem taşıyor.

, , , , , , , , ,