knowledgedeliver lms'te sıfır-gün açığı, godzilla web shell yüklemişler
arkadaşlar, öğrenme yönetim sistemi (lms) denen şeylerde yine iş dönmüş. knowledgedeliver diye bir lms yazılımında kritik bir sıfır-gün açığı bulunmuş ve saldırganlar bunu kullanarak godzilla web shell denen belayı yüklemeyi başarmışlar. yani yama çıkmadan önce sömürülmüş, klasik sıfır-gün vakası.
ne olmuş peki
knowledgedeliver kullanan bir sunucuda CVE-2025-32438 zafiyeti tespit edilmiş. bu açık sayesinde saldırganlar uzaktan kod çalıştırma (rce) yapabiliyorlar. yani kimlik doğrulama falan gerekmeden sunucuya shell atabiliyorsunuz, düşünün işin ciddiyetini.
cvss skoru: 9.8/10 - kritik, acil yamala 🔴
zafiyet türü: kimlik doğrulamasız uzaktan kod çalıştırma (unauthenticated rce)
saldırı vektörü: ağ üzerinden, kullanıcı etkileşimi gerektirmeden
saldırganlar bu açığı kullanarak godzilla web shell’i yüklemişler. godzilla dediğimiz şey çin yapımı bir web shell, şifreleme destekli, yönetimi kolay, saldırganların favorisi yani. bir kere yükledi mi sunucuya, istediğini yapıyor: dosya indirme/yükleme, komut çalıştırma, veritabanına erişim vs.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| KnowledgeDeliver LMS (tüm versiyonlar) | ✅ Etkileniyor |
| Güncellenmiş KnowledgeDeliver | ❌ Etkilenmiyor |
spoiler: bu açık aktif olarak sömürülüyor, boş durmayın.
şimdi ne yapacaksınız
hemen şu adımları uygulayın:
1. sisteminizi kontrol edin
önce knowledgedeliver kullanıyor musunuz, kullanıyorsanız hangi versiyonu kullanıyorsunuz bakın:
# knowledgedeliver versiyonunu kontrol edin
# genelde admin panelinde veya about kısmında yazar
# veya log dosyalarından bakabilirsiniz
grep -i "knowledgedeliver" /var/log/apache2/access.log
grep -i "knowledgedeliver" /var/log/nginx/access.log
2. web shell kontrolü yapın
godzilla web shell yüklenmiş mi diye bakın:
# şüpheli dosyaları arayın
find /var/www -name "*.jsp" -o -name "*.jspx" -mtime -30
find /var/www -type f -name "*.php" -mtime -30
# godzilla'nın imzalarını arayın
grep -r "godzilla" /var/www/
grep -r "javax.crypto.Cipher" /var/www/*.jsp
# son değiştirilen dosyalara bakın
find /var/www -type f -mtime -7 -ls
3. güncellemeyi yapın
knowledgedeliver’ın son sürümüne güncelleyin. vendor yama yayınlamış:
# önce yedek alın (bunu atlamayın)
tar -czf knowledgedeliver_backup_$(date +%Y%m%d).tar.gz /var/www/knowledgedeliver/
# güncellemeyi uygulayın
# vendor'un dökümanına göre işlem yapın
# genelde admin panelinden veya manuel dosya değişimi ile olur
4. log analizi yapın
saldırı olup olmadığını anlayın:
# şüpheli post isteklerini arayın
grep "POST" /var/log/apache2/access.log | grep -i "upload\|shell\|cmd"
# anormal trafiği kontrol edin
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -rn | head -20
geçici çözümler
yamayı hemen uygulayamıyorsanız:
1. waf kuralı ekleyin:
# modsecurity kullanıyorsanız şu kuralı ekleyin
SecRule REQUEST_URI "@contains /upload" "id:1001,phase:2,deny,status:403"
SecRule REQUEST_BODY "@contains javax.crypto" "id:1002,phase:2,deny,status:403"
2. ağ seviyesinde kısıtlama:
# sadece belirli ip'lerden erişim verin
# iptables ile:
iptables -A INPUT -p tcp --dport 80 -s GÜVENLI_IP_ADRESI -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
# veya nginx'te:
# location bloğuna ekleyin:
# allow GÜVENLI_IP_ADRESI;
# deny all;
3. upload dizinlerini kapatın:
# geçici olarak upload fonksiyonunu devre dışı bırakın
chmod 000 /var/www/knowledgedeliver/upload/
edit: bu geçici çözümler sadece zaman kazandırır, kalıcı çözüm güncelleme yapmaktır.
ioc’ler (indicator of compromise)
şu dosya isimlerini arayın sistemde:
shell.jspcmd.jspxupload.php- godzilla’nın varsayılan şifreleme anahtarları içeren dosyalar
şüpheli network bağlantıları:
# aktif bağlantılara bakın
netstat -antp | grep ESTABLISHED
ss -tunap | grep java
kaynaklar
- BleepingComputer - Orijinal Haber
- CVE-2025-32438 - KnowledgeDeliver RCE Zafiyeti
- KnowledgeDeliver Vendor Advisory (vendor sitesini kontrol edin)
sonuç
agalar, lms sistemleri genelde ihmal edilen yerler oluyor. “zaten eğitim sitesi, ne olacak” diye bakıyoruz ama bakın işte ne oluyor. godzilla web shell yüklenince sunucu tamamen ele geçiyor.
yapmanız gerekenler:
- hemen versiyonu kontrol edin
- web shell var mı bakın
- güncellemeyi yapın
- logları inceleyin
- yedek alın (bunu her zaman yapın zaten)
dikkat: knowledgedeliver kullanan tüm sunucularınızı kontrol edin. bir tanesi bile atlanmasın.
bkz: godzilla web shell bkz: sıfır-gün açıkları bkz: web shell dedection
Bu içerik yapay zeka tarafından oluşturulmuştur.