Interlock Ransomware Grubu Cisco Firewall Açığını Zero-Day Olarak Sömürdü
Amazon, Interlock ransomware grubunun Cisco Secure Firewall Management Center açığını CVE-2026-20131 yama yayınlanmadan 38 gün önce zero-day olarak sömürdüğünü ortaya çıkardı.
Dünyanın en aktif ransomware gruplarından biri olan Interlock, Cisco Secure Firewall Management Center (FMC) yazılımındaki kritik bir açığı, yama yayınlanmadan haftalar önce zero-day olarak sömürmeye başladı. Amazon, CVE-2026-20131 olarak bilinen bu açığın 26 Ocak'ta, yani Cisco'nun 4 Mart'ta yama yayınlamasından yaklaşık 38 gün önce istismar edildiğini ortaya çıkardı.
Amazon'un Tespiti: 38 Gün Önce Başladı
Amazon, Cisco'nun güvenlik danışmanlığını yayınlamasının ardından CVE-2026-20131 sömürülerini aramaya başladı. Şirketin MadPot küresel honeypot ağı sayesinde, açığın kamuoyuna duyurulmasından haftalar öncesine dayanan saldırılar tespit edildi.
Amazon Entegre Güvenlik CISO'su CJ Moses, "Bu sadece bir başka açık sömürüsü değildi. Interlock'un elinde zero-day vardı ve savunucular ne arayacağını bilmeden önce kuruluşları tehlikeye atmak için haftalarca avantaj sağladı" açıklamasını yaptı.
Interlock Ransomware Grubu Kim?
Amazon'un analizine göre, elde edilen araçlar ve teknikler malware'i Interlock ransomware ailesiyle ilişkilendiriyor. 2024'te ortaya çıkan Interlock'un, 2023'te British Library'ye düzenlenen büyük ransomware saldırısının arkasındaki Rhysida grubunun bir ransomware-as-a-service (RaaS) uzantısı olabileceği düşünülüyor.
Geçmişte Interlock; eğitim, mühendislik, mimarlık, inşaat, imalat ve sağlık sektörlerinin yanı sıra devlet ve kamu sektörü kuruluşlarını hedef aldı. Ancak grubun Cisco firewall'lar gibi yaygın ekipmanlardaki zero-day açığı bir aydan fazla süredir sömürebilmesi, savunmasız tüm kuruluşların risk altında olabileceği anlamına geliyor.
Saldırganların Hatası: Güvenli Olmayan Staging Alanı
Amazon, honeypot sistemi aracılığıyla saldırganların altyapısına dair kritik bilgiler elde etti. Saldırganlar honeypot'a kötü amaçlı bir binary gönderdi ve bu sayede ransomware'in tek bir sunucuya ve kötü güvenli staging alanına bağımlı olduğu ortaya çıktı.
Bu keşif sayesinde araştırmacılar, Trojans, keşif scriptleri ve evasion teknikleri dahil olmak üzere grubun tam saldırı zincirini analiz edebildi.
Sıfırıncı Gün Sömürülerinin Temel Zorluğu
CJ Moses, "Buradaki asıl hikaye sadece bir açık veya bir ransomware grubu hakkında değil. Zero-day sömürülerinin her güvenlik modeli için oluşturduğu temel zorluk hakkında" dedi ve sözlerini şöyle sürdürdü: "Saldırganlar yamalar mevcut olmadan önce açıkları sömürdüğünde, en titiz yama programları bile o kritik pencerede sizi koruyamaz. Tam da bu nedenle derinlemesine savunma esastır."
Interlock'un CVE-2026-20131'i zero-day olarak sömürdüğü dönemde kaç kurbanı tehlikeye attığı henüz net değil, ancak sayının çok olması muhtemel. Amazon'un blog yazısında, güvenlik ekiplerinin loglarda olası tehlike kanıtı olarak arayabileceği IP adresleri, kötü amaçlı domain'ler ve JA3 client fingerprint hash'lerinin listesi yer alıyor.
Kaynak: csoonline.com
Yorumlar
0İlgili Makaleler
54 EDR Killer Aracı: 34 Savunmasız Sürücü ile Güvenlik Yazılımları Devre Dışı Bırakılıyor
ESET analizine göre 54 EDR killer aracı, 34 savunmasız imzalı sürücüyü istismar ederek güvenlik yazılımlarını devre dışı bırakıyor. BYOVD tekniği ransomware saldırılarında yaygın.
CISA, Cisco FMC'de Kritik RCE Açığını KEV Kataloğuna Ekledi
CISA, Cisco FMC ve SCC Firewall Management'daki kritik RCE açığı CVE-2026-20131'i KEV kataloğuna ekledi. Interlock ransomware grubu açığı Ocak 2026'dan beri sömürüyor.
Bitrefill: Siber Saldırıyı Kuzey Kore'li Lazarus Grubu Düzenledi
Bitrefill, Mart başındaki siber saldırıyı Kuzey Kore'li Lazarus/Bluenoroff grubunun düzenlediğini açıkladı. 18.500 müşteri kaydı ifşa oldu, kripto cüzdanlar hedef alındı.
ABD İstihbarat Şefleri: Section 702 Gözetim Yetkisi Değişiklik Yapılmadan Uzatılmalı
ABD istihbarat liderleri, Section 702 gözetim yetkisinin 18 aylık temiz uzatılmasından yana. Yetki 20 Nisan'da sona eriyor. CIA ve FBI direktörleri daha uzun süre istiyor.