- 21 Ocak 2026
- 30
- 2
- 4
- AdminCP
- #1
O Gece Neler Oldu?
Yer: Küresel bir lojistik firmasının New York'taki veri merkezi. Tarih: 3 Ocak 2021 (Saldırının sessizce başladığı tarihler). Karakter: Sistem Yöneticisi Alex.Saat 02:45. Alex, rutin sunucu kontrollerini yaparken Microsoft Exchange (E-posta) sunucusunda garip bir trafik fark etti. Normalde bu saatte trafik minimumda olmalıydı. Ancak sunucunun 443 numaralı portuna (HTTPS) dışarıdan şifreli ama yoğun istekler geliyordu.
Alex, firewall loglarına baktığında şok oldu. İstekler içeriden, admin yetkisiyle yapılmış gibi görünüyordu ama IP adresleri Çin menşeiliydi.
Olayın Şok Edici Kısmı: Saldırganların elinde ne bir kullanıcı adı vardı ne de bir şifre. Alex'in şirketi en pahalı güvenlik duvarlarını, 2 Faktörlü Doğrulamayı (2FA) kullanıyordu. Ama saldırganlar, "kapıdaki güvenliğe" (Proxy'ye) öyle bir cümle fısıldamışlardı ki, güvenlik onları sorgusuz sualsiz içeri almıştı.
Saldırganlar içeri girer girmez sunucuya "China Chopper" adında küçücük bir Web Shell (arka kapı yazılımı) bıraktılar. Artık Alex'in sunucusu, onların oyun alanıydı. Tüm şirket içi yazışmalar, ihaleler, gizli dosyalar saniyeler içinde kopyalanıyordu.
Teknik Analiz: Proxy Nasıl Hacklendi?
Bu saldırıya literatürde ProxyLogon adı verildi. Olayın teknik kalbi, bir SSRF (Server-Side Request Forgery) zafiyetine dayanıyordu.Adım Adım Saldırı Zinciri:
- Giriş Kapısı (CVE-2021-26855): Saldırganlar, Exchange sunucusunun 443. portuna özel olarak hazırlanmış bir HTTP isteği gönderdi. Bu istek, sunucunun ön yüzündeki "Proxy" mekanizmasını hedef aldı. Proxy, gelen isteği doğrulayıp arka plana iletmekle görevliydi. Ancak kod hatası nedeniyle, saldırganlar kendilerini "yetkili sunucu" gibi gösterdi. Proxy, bu sahte isteği yuttu ve kimlik doğrulama yapmadan admin yetkisi verdi.
- Yetki Yükseltme (CVE-2021-26857): İçeri bir kez admin yetkisiyle (SYSTEM düzeyinde) giren saldırganlar, artık sunucu üzerinde herhangi bir kodu çalıştırabilir hale geldi.
- Kalıcılık Sağlama (Web Shell): Saldırganlar, sunucunun erişilebilir bir klasörüne
.aspxuzantılı bir dosya (Web Shell) yazdılar. Bu sayede, ilk açık kapatılsa bile, arka kapıdan istedikleri zaman sisteme geri dönebileceklerdi.
Bu, tekil bir olay değildi. Otomatik botlar kullanılarak dünya genelinde 250.000'den fazla sunucu hacklendi.- Etkilenenler: Küçük işletmelerden, bankalara, hastanelere ve yerel yönetimlere kadar herkes.
- Fidye Yazılımları: İlk erişimi sağlayan HAFNIUM grubu (devlet destekli hackerlar), daha sonra bu erişimi fidye yazılımı (Ransomware) çetelerine sattı. Şirketler dosyalarını kurtarmak için milyonlarca dolar ödedi.
- Acil Müdahale: Microsoft, tarihinin en hızlı ve panik dolu yamalarını yayınladı. FBI, tarihinde ilk kez mahkeme kararıyla özel şirketlerin sunucularına "girip" bu arka kapıları (Web Shell'leri) temizledi.
Kaynaklar
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.