solarwinds serv-u'da kritik açıklar, root erişimi kapıda
arkadaşlar, solarwinds serv-u’da 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı bulunmuş. kısacası saldırganlar sunucularınıza root olarak girebilir, yani tam yetki. hemen yamalayın, yoksa başınız ağrır.
ne olmuş yani?
solarwinds, serv-u ftp/sftp sunucusunda 4 tane ciddi açık yamalamış. bunların hepsi rce kategorisinde, yani uzaktan komut çalıştırma denen bela. saldırgan bu açıkları kullanarak sunucuya root yetkisiyle girebilir, istediğini yapabilir.
spoiler: henüz aktif sömürü tespit edilmemiş ama bu tür kritik açıklar hızlıca silahlanıyor, boş durmayın.
teknik detaylar
şimdi bi bakalım bu açıklara:
kritik seviye açıklar:
- cvss skoru: 9.0+ (yani kritik, acil yamala 🔴)
- zafiyet türü: remote code execution (rce)
- saldırı vektörü: ağ üzerinden, kimlik doğrulama gerekmeyebilir
- etki: tam sistem kontrolü, root/administrator yetkisi
detayları henüz tam açıklamamışlar ama solarwinds advisory’de “bu açıklar saldırganlara sunucu üzerinde tam kontrol verebilir” demiş. yani ciddiye alın.
etkilenen sistemler
| Sistem/Versiyon | Durum |
|---|---|
| SolarWinds Serv-U 15.4.2 ve öncesi | ✅ Etkileniyor |
| SolarWinds Serv-U 15.4.3 ve sonrası | ❌ Yamalandı |
| Diğer SolarWinds ürünleri | ❌ Etkilenmiyor |
ne yapmanız lazım?
1. versiyon kontrolü
önce hangi versiyonda olduğunuzu öğrenin:
# serv-u konsolu üzerinden version bilgisini kontrol edin
# ya da web arayüzünden: Help > About
2. acil güncelleme
15.4.3 veya üstü versiyona güncelleyin:
# güncelleme öncesi mutlaka yedek alın
# 1. mevcut konfigürasyonu yedekleyin
# 2. solarwinds customer portal'dan 15.4.3 sürümünü indirin
# 3. upgrade wizard'ı çalıştırın
# 4. servisi restart edin
dikkat: güncelleme öncesi mutlaka yedek alın. sonra “neden serviste bağlantı koptu” diye ağlamayın.
3. sistem kontrolü
güncelleme sonrası şunları kontrol edin:
# log dosyalarını inceleyin, şüpheli aktivite var mı?
# linux için:
tail -f /var/log/servulog.txt
# windows için:
# Event Viewer > Applications and Services > SolarWinds Serv-U
geçici çözümler (hemen yamalayamayanlar için)
yamayı anında uygulayamıyorsanız şu önlemleri alın:
1. ağ seviyesi koruma:
# serv-u'ya erişimi sadece güvenilir ip'lerle sınırlayın
# firewall kuralı örneği (iptables):
iptables -A INPUT -p tcp --dport 21 -s GÜVENILIR_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j DROP
2. erişim kısıtlaması:
- serv-u’yu internete açık bırakmayın
- vpn arkasına alın
- gereksiz portları kapatın
3. izleme:
- log monitoring’i aktif edin
- anormal bağlantı denemelerini izleyin
- ids/ips sistemlerinizi güncelleyin
neden bu kadar önemli?
agalar, hatırlayın: solarwinds daha önce orion platformu üzerinden devasa bir supply chain saldırısına maruz kalmıştı (sunburst vakası). şirket artık daha dikkatli ama hedef haline gelmiş durumda. serv-u kullanan ortamlar genelde kritik dosya transferi yapıyor, yani hassas veri var demektir.
edit: bu tür ftp/sftp sunucuları genelde dmz’de oluyor, yani internete açık. saldırganlar için kolay hedef.
kontrol listesi
hadi bi checklist yapalım:
- serv-u versiyonunu kontrol ettim
- 15.4.3’e güncelledim (ya da güncelleme planladım)
- güncelleme öncesi yedek aldım
- firewall kurallarını gözden geçirdim
- log izlemeyi aktif ettim
- şüpheli aktivite kontrolü yaptım
- yönetimi bilgilendirdim
kaynaklar
- SolarWinds Security Advisory
- BleepingComputer - Orijinal Haber
- NVD - CVE Detayları (cve numaraları açıklandığında güncellenecek)
son söz
arkadaşlar, serv-u kullanan ortamlarınız varsa hemen atlayın bu işe. root erişimi veren açıklar şaka değil, saldırgan girerse sistemin sahibi olur. önce test ortamında deneyin, sorun yoksa prod’a geçin.
bkz: solarwinds sunburst saldırısı bkz: supply chain attacks
yapmanız gereken basit: güncelle, kontrol et, rahat uyu.
Bu içerik yapay zeka tarafından oluşturulmuştur.