Apache MINA’da potansiyel olarak saldırganların güvenli olmayan seri durumdan çıkarma süreçlerinden yararlanarak uzaktan kod yürütmesine olanak tanıyan yeni bir kritik güvenlik açığı (CVE-2024-52046) keşfedildi.
Bu kusur, popüler ağ kitaplığının birden çok sürümünü etkileyerek önemli güvenlik endişelerini artırıyor.
Güvenlik Açığı Açıklandı
Sorun, Java’nın yerel seri durumdan çıkarma protokolünü kullanan Apache MINA’nın ObjectSerializationDecoder bileşeninde yatmaktadır.
Kod çözücüde yeterli güvenlik mekanizmalarının bulunmaması, saldırganların kötü amaçlı serileştirilmiş verileri enjekte etmesine olanak tanıyor. Seri durumdan çıkarıldığında bu veriler Uzaktan Kod Yürütmeyi (RCE) tetikleyerek etkilenen sistemleri ciddi risk altına sokabilir.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Etkilenen Sürümler
Apache MINA’nın aşağıdaki sürümleri güvenlik açığına sahiptir:
- Sürüm 2.0’dan 2.0.26’ya kadar
- Sürüm 2.1’den 2.1.9’a kadar
- Sürüm 2.2’den 2.2.3’e kadar
Bu sürümlerden herhangi birini kullanan kuruluşların riski azaltmak için derhal harekete geçmesi gerekir.
Apache MINA ekibi bu güvenlik açığını gidermek için 2.0.27, 2.1.10 ve 2.2.4 güncellemelerini yayınladı.
Bu sürümler, gelen serileştirilmiş verilerin daha sıkı doğrulanmasını zorunlu kılarak seri durumdan çıkarma işleminin güvenliğini artırmaya yönelik düzeltmeler içerir.
Güvenlik Açığı Nasıl Azaltılır
- Hemen Yükselt
Kullanıcılar Apache MINA’nın yamalı sürümlerine (2.0.27, 2.1.10 veya 2.2.4) yükseltme yapmalıdır. Güncellemelerin geciktirilmesi kötüye kullanım riskini artırır. - Güvenli Seri Kaldırmayı Zorunlu Hale Getirin
Yükseltme sonrasında geliştiricilerin seri durumdan çıkarma için kabul edilebilir sınıf adlarını açıkça belirterek ObjectSerializationDecoder’ı yapılandırması gerekir. Bu amaçla üç yeni yöntem tanıtılmıştır:- kabul et(ClassNameMatcher classNameMatcher)
- kabul et(Desen deseni)
- kabul et(Dize… desenler)
Varsayılan olarak, kod çözücü artık açıkça izin verilmediği sürece tüm sınıfları reddedecektir.
- Uygulama Kullanımını Değerlendirin
IoBuffer#getObject() yöntemini veya ObjectSerializationCodecFactory ile ProtokolCodecFilter’ı kullanmayan uygulamalar etkilenmez. Dahili bir inceleme yapmak sorunun kapsamını daraltmaya yardımcı olabilir.
Neyse ki Apache MINA şemsiyesi altındaki FtpServer, SSHd ve Vysper alt projelerinin bu güvenlik açığından etkilenmediği doğrulandı.
Bu güvenlik açığı, Java uygulamalarında güvenli olmayan seri durumdan çıkarmayla ilişkili risklerin altını çizer.
Kuruluşlar, benzer tehditlere karşı koruma sağlamak için düzenli güncellemelere öncelik vermeli, sıkı güvenlik politikaları uygulamalı ve üçüncü taraf kitaplık kullanımlarını gözden geçirmelidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin