Adobe, ColdFusion yazılımında, saldırganların sistemdeki dosyaları rastgele okumasına olanak verebilecek kritik bir güvenlik açığını giderdi.
CVE-2024-20767 olarak tanımlanan kusur düzeltildi ancak güvenlik açığını çevreleyen ayrıntılar, hassas bilgilere yönelik potansiyel risklere ışık tutuyor.
Güvenlik Açığı Anlamak: CVE-2024-20767
Söz konusu güvenlik açığı CVE-2024-20767, Adobe ColdFusion'ın dosya erişim izinlerini işleme biçiminde keşfedildi.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Spesifik olarak, aslında birden fazla bayt kodu dosyasından oluşan bir küme olan CFIDE/adminapi/_servermanager/servermanager.cfc ColdFusion bileşeninde bir sorun bulundu.
Saldırganlar, CAFEBABE önekini kullanarak bunu birden çok bayt kodu dosyasına bölerek güvenlik önlemlerini atlayarak bundan yararlanabilirler.
UDFMethod'dan miras alan ve getAccess yöntemi aracılığıyla erişim düzeyi 3'ü döndüren kritik bir sınıf olan getHeartBeat, yetkisiz erişimin anahtarı olarak tanımlandı.
Bu sınıf, web.xml'deki yapılandırması nedeniyle uygun yetkilendirme olmadan çağrılabilir ve bu da rastgele dosya sistemi okuma yeteneklerine yol açabilir.
Güvenlik açığı, garip bir şekilde ColdFusion.monitor.Configuration'ın UUID'sini veren MonitoringService'in getHeartBeat yöntemiyle daha da kötüleşti.
Bu UUID daha sonra PMSGenericServlet sunucu uygulamasına uygun kimlik doğrulaması olmadan erişmek için kullanılabilir; bu, modül parametresi günlüğe kaydetmeye ayarlandığında rastgele dosya okumaları veya heap_dump olarak ayarlandığında yığın dökümlerini indirme gibi daha da tehlikeli eylemlere izin verir.
FofaBot'un yakın zamanda attığı bir tweet'e göre Adobe ColdFusion'da CVE-2024-20767 olarak tanımlanan kritik bir güvenlik açığı keşfedildi.
Etkilenen Sürümler ve Yama Sürümü
Adobe'nin 12 Mart 2024'te yayınlanan güvenlik bülteni APSB24-14, ColdFusion'ın etkilenen sürümlerini vurgulamaktadır:
- ColdFusion 2023 Güncelleme 6 ve önceki sürümler
- ColdFusion 2021 Güncelleme 12 ve önceki sürümler
Bu sürümleri çalıştıran tüm platformlar risk altındadır. Adobe, bu güncellemeyi öncelik derecesi 3 ile sınıflandırıyor ve riski azaltmak için kullanıcıların kurulumlarını en yeni sürümlere güncellemelerini önemle tavsiye ediyor.
Potansiyel Etki ve Öneriler
CVE-2024-20767'nin potansiyel etkisi önemlidir çünkü saldırganların sistemdeki hassas dosyaları yetkisiz olarak okumasına olanak tanır.
Bu, gizli bilgilerin, sistem yapılandırmalarının ve hatta sunucuda saklanan kimlik bilgilerinin açığa çıkmasına neden olabilir.
Adobe yalnızca ColdFusion için yamalar yayınlamakla kalmadı, aynı zamanda ColdFusion JDK/JRE LTS sürümünün en son güncelleme sürümüne güncellenmesini de tavsiye ediyor.
İlgili JDK güncellemesi olmadan ColdFusion güncellemesinin uygulanmasının sunucunun güvenliğini tam olarak sağlayamayacağını unutmamak çok önemlidir.
Güvenli olmayan Wddx seri durumdan çıkarma saldırılarına karşı daha ayrıntılı koruma stratejileri için Adobe, kullanıcıları resmi destek sayfasında bulunan güncellenmiş seri filtre belgelerine yönlendirir.
Teşekkür ve Diğer Eylemler
Aralarında “ma4ter” olarak bilinen bir kişinin de bulunduğu araştırmacıların, CVE-2024-20767'yi keşfettiği kabul edildi. Güvenlik açığını gidermek için Adobe ile yakın işbirliği içinde çalıştılar.
Adobe, HackerOne ile güvenlik araştırmacılarını olası güvenlik açıklarını bildirmeye teşvik eden özel, yalnızca davetle girilebilen bir hata ödül programı yürütmektedir.
Dijital ortam gelişmeye devam ederken, CVE-2024-20767 gibi güvenlik açıklarının keşfedilmesi ve yamalanması, proaktif güvenlik önlemlerinin ve yazılım geliştiricileri ile siber güvenlik topluluğu arasındaki işbirlikçi çabanın önemini vurgulamaktadır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.