Açık kaynaklı bir kimlik yönetimi sistemi olan Apache Syncope’un, CVE-2025-57738’de ayrıntılı olarak açıklandığı gibi, Groovy komut dosyası oluşturma özelliği aracılığıyla uzaktan kod yürütmeye (RCE) karşı savunmasız olduğu tespit edildi.
Bu kusur, yöneticilerin Syncope Core işleminin tüm ayrıcalıklarıyla çalışan kötü amaçlı Groovy kodunu yükleyebildiği 3.0.14 ve 4.0.2’den önceki sürümleri etkiler.
Mantel Group’tan güvenlik araştırmacısı Mike Cole tarafından keşfedilen güvenlik açığı, Groovy uygulamaları için korumalı alan ortamının bulunmamasından kaynaklanıyor ve potansiyel olarak saldırganların tüm sistemi tehlikeye atmasına olanak tanıyor.
Sorun, Syncope’un kullanıcıların temel işlevselliğini, çalışma zamanında çalışırken yeniden yükleme için Java sınıfları veya Groovy komut dosyaları kullanılarak uygulanabilen özel Java arayüzleri aracılığıyla genişletmesine olanak sağlaması nedeniyle ortaya çıkıyor.
Güvenlik açığı bulunan sürümlerde, GroovyClassLoader bu komut dosyalarını kısıtlama olmadan derleyip çalıştırarak Runtime.exec veya ProcessBuilder gibi tehlikeli API’leri güvenilmeyen girişlere maruz bırakır.
Bu tasarım seçeneği, Uygulamalar ve Raporlar API’lerine erişimi olan yetkilendirilmiş yöneticilerin, sunucuda isteğe bağlı işlemler gerçekleştiren kodu eklemesine olanak tanır.
Apache Senkopu Groovy RCE Güvenlik Açığı
Syncope’un mimarisi özel mantık için bir “Uygulama” soyutlaması içerir ve Groovy desteklenen bir motor tipidir.
Bir güvenlik yöneticisi veya reddetme listesi olmadan, yüklenen Groovy kodu, dosya sistemi erişimi veya işlem oluşturma gibi sistem düzeyindeki işlevleri doğrudan çağırabilir.
Örneğin, saldırganlar REPORT_DELEGATE türünde bir Groovy uygulaması oluşturabilir, bunu bir rapora bağlayabilir ve POST /syncope/rest/reports/{key}/execute gibi REST uç noktaları aracılığıyla yürütmeyi tetikleyebilir.
Bu, kodu, kurumsal dağıtımlarda genellikle yükseltilmiş ayrıcalıklarla çalışan Syncope hizmet hesabı altında yürütür.
Çoğaltma, yürütmeyi kanıtlamak için /tmp içindeki bir işaretleyici dosyasına dokunan bir komut dosyasının yüklenmesi gibi, temel kimlik doğrulamayı kullanan basit HTTP isteklerini içerir.
Güvenlik açığı idari yetkiler gerektiriyor ancak ön kimlik doğrulamaya ihtiyaç duymuyor, bu da onu yüksek riskli bir içeriden veya güvenliği ihlal edilmiş hesap tehdidi haline getiriyor.
Yürütme yüzeyleri, uygulamanın saldırı yollarını genişleten raporları, görevleri ve bağlayıcıları içerir. Sağlamlaştırma zayıfsa, saldırganlar ortam değişkenlerini sırlar açısından inceleyebilir, dosyalar yazabilir veya kapsayıcı ana bilgisayarlara dönebilir.
MITRE ATT&CK ile eşlenen bu, Geçerli Hesaplar (T1078) ve Komut ve Komut Dosyası Tercümanı (T1059) gibi taktiklerle uyumlu olup kalıcılığı ve kaçmayı mümkün kılar.
Apache, 3.0.14 ve 4.0.2 sürümlerinde, sınıf yükleme kısıtlamaları ve politika uygulaması yoluyla tehlikeli işlemleri engelleyen bir Groovy sanal alanı sunarak bu sorunu çözdü.
İkili yamalar sağlanmadığından kullanıcılar hemen yükseltme yapmalı ve gerekirse kaynaktan yeniden oluşturmalıdır. Düzeltmeyi doğrulamak için aynı yararlanma adımlarını deneyin; Korumalı alan ihlalleri artık code.syncope’u çalıştırmadan hataları günlüğe kaydetmelidir.
Groovy motorlarını devre dışı bırakın ve savunmasız sürümlerde geçici koruma sağlamak için CI/CD ardışık düzenleri aracılığıyla incelenmiş Java uygulamalarını tercih edin.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
