Microsoft Tehdit İstihbarat Ekibi, Aralık 2024’te bilinmeyen bir saldırganın, açık şekilde paylaşılan bir ASP.NET makine anahtarını kullanarak kötü amaçlı kod enjekte ettiğini ve Godzilla post-exploitation framework’ünü dağıttığını tespit etti.
Bu olay, Microsoft’un güvenlik blogunda yayımlanan “Code injection attacks using publicly disclosed ASP.NET machine keys” başlıklı makalede duyuruldu. Şirketin yaptığı araştırmalar sonucunda, birçok geliştiricinin internet üzerindeki belgelerden ve kod havuzlarından aldığı genel erişime açık ASP.NET makine anahtarlarını kendi yazılımlarında kullandığı ortaya çıktı.
Bu durum, saldırganların hedef sunuculara kötü amaçlı işlemler gerçekleştirmesine olanak tanıyor. Microsoft, şimdiye kadar 3.000’den fazla açık şekilde yayımlanmış ASP.NET makine anahtarı tespit ettiğini belirtiyor.
ASP.NET Açığı: ViewState Kod Enjeksiyonu
Bu saldırılar, ViewState kod enjeksiyonu yöntemiyle gerçekleştiriliyor. Daha önceki saldırılarda, genellikle çalınmış veya ele geçirilmiş makine anahtarları kullanılıyordu. Ancak Microsoft’a göre, halka açık kaynaklarda bulunan anahtarlar daha büyük bir risk oluşturuyor. Çünkü bu anahtarlar, doğrudan kod havuzlarına eklenmiş olabilir ve fark edilmeden birçok projeye entegre edilmiş olabilir. Microsoft, bu tür saldırılardan korunmak için şirketlere şu önerilerde bulunuyor:
- Açık kaynaklardan kopyalanan ASP.NET makine anahtarlarını kullanmayın.
- Kendi özel makine anahtarlarınızı oluşturun ve düzenli olarak değiştirin.
- Microsoft Defender for Endpoint kullanarak açık anahtarları tespit edin ve riskleri azaltın.
Microsoft, bu tehdidi önlemek için bazı belgelerden örnek makine anahtarlarını kaldırdığını da duyurdu.
ASP.NET kullanıcıları için bu güvenlik açığı ciddi bir tehdit oluşturuyor. Halka açık kaynaklardan kopyalanan makine anahtarları, saldırganlara sistemlere erişim sağlama fırsatı veriyor. Şirketler, bu tür hatalardan kaçınarak sistemlerini koruma altına alabilir.