GitHub ProxyLogon istismarını kaldırdı! Dün, Vietnam’dan bağımsız bir bilgi güvenliği araştırmacısının GitHub’da, yakın zamanda Microsoft Exchange’de keşfedilen ciddi bir ProxyLogon güvenlik açığı seti için ilk gerçek PoC istismarını yayınladığını söyledi.
Bu istismar, Kryptos Logic’ten Marcus Hutchins, PwnDefend’den Daniel Card ve Condition Black’den John Wettington gibi tanınmış uzmanlar tarafından onaylandı.
Aynı zamanda, birçok kişi PoC istismarının kamuya açıklanmasının şu anda son derece şüpheli bir adım olduğunu belirtti. Örneğin, son zamanlarda Praetorian çok daha az “suistimal” nedeniyle ciddi şekilde eleştirildi: uzmanları ProxyLogin güvenlik açıklarının yalnızca ayrıntılı bir özetini yayınladılar. Ancak kendi istismarlarını yayınlamaktan kaçındılar.
Mesele şu ki, en az on hack grubu şu anda ProxyLogon hatalarını dünya çapındaki Exchange sunucularına arka kapılar kurmak için kullanıyor. Çeşitli tahminlere göre, etkilenen şirket ve kuruluşların sayısı şimdiden 30.000-100.000’e ulaştı ve sayıları, saldırganların sayısı gibi artmaya devam ediyor.
Durumun ciddiyeti göz önüne alındığında, istismarın yayınlanmasından birkaç saat sonra, hizmet yönetimi tarafından GitHub’dan kaldırıldı. Bu nedenle bilgi güvenliği topluluğunun bazı üyeleri öfkeye kapıldı ve Microsoft’u hemen dünyanın her yerindeki güvenlik uzmanları için hayati önem taşıyan içeriği sansürlemekle suçladı.
Örneğin, birçok araştırmacı GitHub’ın, bir şirketin diğer şirketlerin yazılımlarını etkileyen güvenlik açıklarını düzeltmek için PoC istismarlarını kullanmasına izin veren, ancak Microsoft ürünleri için benzer PoC’lerin kaldırıldığını söyleyen çifte bir standarda bağlı olduğunu söylüyor.
GitHub ProxyLogon istismarını kaldırdı
“Microsoft, PoC kodunu GitHub’dan gerçekten kaldırdı”
“Vay. Hiçbir sözüm yok. Microsoft, PoC kodunu GitHub’dan gerçekten kaldırdı. Zaten yamaları aldı kendi ürünü amaçlayan GitHub güvenlik araştırmacısı kodunu kaldırmak canavarlık,” diye yazdı Dave Kennedy TrustedSec kurucusu.
“Metasploit’in bir yararı var mı, yoksa onu kullanan herkes scriptkiddy mi? Ne yazık ki, araştırmaları ve araçları saldırganlarla paylaşmadan profesyonellerle paylaşmak imkansızdır. Ancak birçok kişi (benim gibi) faydaların risklerden daha ağır bastığına inanıyor.”
Buna karşılık Hutchins, halihazırda sabitlenmiş güvenlik açıkları hakkındaki argümanın savunulamaz olduğunu söyledi. Öünkü dünya çapında yaklaşık 50.000 sunucu hala savunmasız olduğunu yazıyor.
“”Yamalar artık çıktı.” Dostum, 50.000’den fazla yamalanmamış Exchange sunucusu var. Tamamen işlevsel bir RCE zincirini serbest bırakmak bir güvenlik çalışması değil, aptallık ve aptallıktır.
GitHub’ın daha önce yalnızca Microsoft ürünlerini hedefleyen kodu değil, kötü amaçlı kodları da kaldırdığını görmüştüm. Hutchins, MS’in bu kaldırma işleminde herhangi bir rol oynadığından son derece şüpheliyim. Yalnızca GitHub’ın etkin kötü amaçlı yazılım politikasını ihlal ediyordu. Çünkü daha yeni ortaya çıktı ve çok sayıda sunucu fidye yazılımı saldırıları tehdidi altında” diyor Hutchins.
GitHub, muhabirlere istismarın topluluk için kesinlikle eğitim ve araştırma değeri olduğunu, ancak şirketin bir denge sağlaması ve daha geniş ekosistemi güvende tutma ihtiyacına dikkat etmesi gerektiğini söyledi. Bu nedenle, hizmetin kurallarına uygun olarak, şu anda saldırılar için aktif olarak kullanılmakta olan yakın zamanda keşfedilen bir güvenlik açığından yararlanma yine de genel etki alanından kaldırılmıştır.
