Uygunsuz sertifika doğrulaması nedeniyle istemciler savunmasız
Apache Pulsar’da yeni keşfedilen bir güvenlik açığı, uygunsuz sertifika doğrulaması nedeniyle uzaktaki bir saldırganın ortadaki manipülatör (MitM) saldırısı gerçekleştirmesine olanak tanır.
Apache Pulsar, yayıncı-abonelik modeline dayalı olarak sunucudan sunucuya mesajlaşma ve kuyruğa alma için dağıtılmış, açık kaynaklı bir çözümdür.
Binlerce şirket tarafından yüksek performanslı veri boru hatları, mikro hizmetler, anlık mesajlaşma, veri entegrasyonları ve daha fazlası için kullanılır ve günde yüz milyarlarca olayı yönetir.
Ancak, bir hizmet olarak bulut veritabanı şirketi DataStax’tan Michael Marshall tarafından keşfedilen Pulsar Java İstemcisi ve Pulsar Proxy’deki TLS ana bilgisayar adı doğrulama sürecindeki bir gecikme, her istemciyi bir MitM orta saldırısına karşı savunmasız hale getirir.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Güvenlik açığı, Pulsar protokolüne özgü değildir, ancak TLS ana bilgisayar adı doğrulamasındaki, protokolün ana bilgisayar adı doğrulamasını zorunlu kılmadığı anlamına gelen temel bir zayıflık sayesinde mevcuttur.
Pulsar Java İstemcisi, istemci sertifikasını istemci kimlik doğrulama adımının bir parçası olarak gönderirken Pulsar Proxy, sunucu sertifikasını kimlik doğrulama adımının bir parçası olarak gönderir.
Ancak, sunucunun TLS sertifikasının ana bilgisayar adıyla eşleştiği doğrulanmadan önce kimlik doğrulama verileri gönderilir; bu, kimlik doğrulama verilerinin bir saldırgana maruz kalabileceği anlamına gelir.
saldırı yöntemi
Bu güvenlik açığından yararlanmak için, bir saldırganın istemci ile sunucu arasındaki bir makinenin kontrolünü ele geçirmesi gerekir. Ardından, müşteriye alakasız bir ana bilgisayar için kriptografik olarak geçerli bir sertifika sağlayarak saldırıyı gerçekleştirmek için trafiği aktif olarak manipüle etmeleri gerekir.
İstemci, ana bilgisayar adı doğrulamasını gerçekleştirmeden önce kimlik doğrulama verilerini gönderdiği için, saldırganın istemcinin kimlik doğrulama verilerine erişmesi mümkün olacaktır.
İstemci, ana bilgisayar adını doğruladığında ve hedeflenen ana bilgisayar adının sertifikadaki bir ana bilgisayar adıyla eşleşmediğini belirlediğinde, istemci sonunda bağlantıyı kapatır.
Bu, ele geçirilen kimlik doğrulama verilerinin değerinin istemci tarafından kullanılan kimlik doğrulama yöntemine bağlı olacağı anlamına gelir; kimlik doğrulama verileri ayrı bir oturumda istemcinin kimliğine bürünmek için kullanılabildiğinden belirteç tabanlı kimlik doğrulama ve kullanıcı adı/parola kimlik doğrulama yöntemleri savunmasız bırakılır.
Orta önem derecesine sahip güvenlik açığı, Apache Pulsar Java İstemcisi 2.7.0 ila 2.7.4 sürümlerini etkiler; 2.8.0 ila 2.8.3; 2.9.0 ila 2.9.2; 2.10.0; 2.6.4 ve öncesi.
Kullanıcıların etkilenmeyen sürümlere – 2.7.5, 2.8.4, 2.9.3, 2.10.1 veya üstü – yükseltme yapmaları ve belirteçler ve parolalar dahil olmak üzere güvenlik açığı bulunan kimlik doğrulama verilerini döndürmeleri önerilir.
DataStax, müşterilerini kusur konusunda uyardığını söyledi. Bir sözcü, “DataStax Luna Streaming teklifi için Pulsar güvenlik sorunları zaten düzeltildi ve yakında Astra Streaming hizmetimizde bir güncelleme olacak” dedi.
ÖNERİLEN Sophos Güvenlik Duvarı’ndaki web güvenlik açığı yamalı