Kamuya açıklama, bir konuşma ve daha sonra bir blog gönderisi, RCE istismarı çözülmedi
Bir araştırmacının ifşa için en iyi çabalarına rağmen, WebPageTest projesinin yürütücüleri ciddi bir uzaktan kod yürütme (RCE) güvenlik açığını görmezden geliyor gibi görünüyor.
23 Eylül tarihli bir blog yazısında, ManoMano araştırmacısı Louka “Laluka” Jacques-Chevallier, açık kaynak projesi WebPageTest’te kimlik doğrulama öncesi bir RCE güvenlik açığı keşfettiğini tartıştı.
Araştırma aynı zamanda DEFCON Paris’te bir konuşmanın konusu oldu.
En son güvenlik araştırmalarını ve analizlerini yakalayın
Catchpoint tarafından geliştirilen WebPageTest, çevirmeli modem günlerine ve 1990’lara dayanan ve optimizasyon amacıyla web sitesi kodunun hızını ve performansını kontrol eden bir yardımcı program haline gelen bir araçtır.
Araştırmacıya göre, bu yazılım geçmişte, kod ve kapsayıcılarda güncelleme eksikliği, bilinen güvenlik açıklarına karşı yama uygulanmamış eski bileşenler ve “kokulu PHP kodunun yoğun kullanımı” dahil olmak üzere güvenlik sorunlarına “eğilimli” olmuştur.
WebPageTest’in en son kararlı sürümü v22.01, Ekim 2021’de yayınlandı.
Sunucu tarafı istek sahteciliği (SSRF) güvenlik açıkları, saldırganların sunucu tarafı bir uygulama aracılığıyla istenmeyen bir konuma veya kaynağa başarılı isteklerde bulunmalarına olanak tanıyan hatalar, geçmişte WebPageTest’te bulunmuştu.
Yeni keşfedilen bir SSRF kusuru, Laluka’nın araştırmasının odak noktasıydı.
Yazılımın kaynak kodunu inceledikten ve hem tarama hem de bulanıklaştırma testlerini gerçekleştirdikten sonra Laluka, 15 dakikadan kısa bir sürede bir SSRF güvenlik açığı keşfetti. SSRF bir HTTP şemasıyla sınırlıydı, ancak altta yatan kod, siber güvenlik araştırmacısı için daha fazla sürpriz içeriyordu.
mikroskop altında
Daha yakından incelendiğinde Laluka, bir yola eğik çizgi ekleyerek bir yükü tetikleyebilecek PHP kodu, dosya yazma hataları ve temizleme hataları da dahil olmak üzere bir dizi sorunu ortaya çıkardı. Sonunda, araştırmacı bir komut enjeksiyonu yapabildi, bir ters kabuk oluşturabildi, JSON dosya işlerinden yararlanabildi ve RCE’ye ulaştı.
Beanstalkd iş kuyruğu motoru kullanımdaysa, RCE’den yararlanmak da mümkün olabilir. Laluka, varsayılan konfigürasyonlarda mevcut olmasa da, SSRF ve komut yerleştirme sorunlarının yeni, kötü niyetli bir iş enjekte etmek ve işçiyi dosyayı kullanmaya zorlamak için istismar edilebileceğini söylüyor.
Araştırmacı, ilk SSRF hatasını 15 Nisan’da buldu ve 25 Mayıs’a kadar RCE açıklardan yararlanma zincirinin tamamını doğruladı. Laluka, 15 Haziran’da satıcıyla temasa geçti ve Catchpoint’in yanıt vermesine rağmen, iletişim hatları “oldukça sıkıcı” olarak tanımlandı.
‘Çantayı aç’
Satıcı, sorunun teknik ayrıntılarını ve bir Kavram Kanıtı (PoC) videosu sunmasına rağmen, Catchpoint’in 300 dolarlık “büyük” bir ödül programı ödülü teklif ettiği 28 Temmuz’a kadar yanıt vermedi.
Laluka, yama doğrulama konusunda yardım teklif etti, ancak o zamandan beri radyo sessizliği oldu. Maaşını almasına rağmen 90 günden fazla oldu ve hala bir düzeltmeden haber yok.
Laluka, “Bu yazılımın geliştiriciler ve site güvenilirliği mühendisleri için gerçekten yararlı olabileceğini, ancak kod tabanının hiçbir şekilde iyi uygulamaları takip etmediğini düşünüyorum” dedi. Günlük Swig. “Temelde bir çantada bulunur – açık bir çanta.”
Catchpoint, gelen yorum taleplerine yanıt vermedi. Günlük Swig.
İLİŞKİLİ PHP paket yöneticisi bileşeni Packagist tehlikeye açık