Cisco, Akıllı Lisanslama Yardımcı Programını etkileyen CVE-2024-20439 olarak tanımlanan kritik bir güvenlik açığını açıkladı.
Bağımsız bir araştırmacı bu açığı tersine mühendislik yoluyla keşfetti. Saldırganların etkilenen cihazlara yetkisiz erişim ve kontrol elde etmesine olanak sağlayabilecek sabit kodlu statik bir parola içeriyor.
Bu güvenlik açığı, Cisco’nun lisanslama sistemlerini kullanan kuruluşlar için önemli güvenlik endişelerine işaret ediyor.
Hedef Uygulama
Bu güvenlik açığı öncelikle Windows ve Linux platformlarında kullanılabilen Cisco Smart Licensing Utility’yi etkiliyor.
Araştırmacı Linux sürümünü indirdi ve standart komut satırı araçlarını kullanarak içeriğini çıkardı. Yardımcı program, Golang’da yazılmış bir REST API’nin üstünde bir Electron uygulaması olarak oluşturulmuştur.
REST API varsayılan olarak tüm ağ arayüzlerini dinler ve bu da onu olası dış tehditlere maruz bırakır.
Starkeblog’a göre araştırmacı, cslu-api ikili dosyasını analiz etmek için Ghidra Golang Eklentisini kullandı ve sabit kodlanmış “Library4C$LU” parolasını ortaya çıkardı.
Bu parola, Electron bileşeninin APIClient.js dosyasına gömülüdür ve HTTP Temel Kimlik Doğrulaması aracılığıyla yetkisiz erişimi kolaylaştırır.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndirin
Elektron Bileşeni
Kritik kimlik bilgileri yükleyici paketindeki resources/app.asar dosyasında bulundu. .asar dosyası, içeriğini ortaya çıkarmak için çıkarılabilen bir Electron arşividir.
APIClient.js dosyası aşağıdaki kod parçacığını içerir:
"use strict";
Object.defineProperty(exports, "__esModule", { value: true });
var axios_1 = require("axios");
var https = require("https");
var rxjs_1 = require("rxjs");
var APIClient = /** @class */ (function () {
function APIClient(config) {
this.protocol = "http";
this.apiHost = "localhost";
this.apiPort = 4596;
this.apiEndpointPath = "/cslu/v1";
this.basicAuthUserName = "cslu-windows-client";
this.basicAuthPassword = "Library4C$LU";
if (!!APIClient.getInstance()) {
return APIClient.getInstance();
}
[...]
Bu kod, uygulamanın 2.0.0 ila 2.2.0 sürümlerinin HTTP Temel Kimlik Doğrulaması için bu kimlik bilgilerini kullandığını ve önemli bir güvenlik riski oluşturduğunu ortaya koymaktadır.
Analiz ve Sonraki Adımlar
Güvenlik açığı özellikle cslu-api işleminin tüm ağ arayüzlerini dinlemesi nedeniyle ciddi boyutlardadır ve bu da ağ erişimi olan saldırganların bunu kolayca istismar edebilmesine olanak tanır.
2.0.0 ve 2.1.0 sürümleri de aynı kimlik bilgilerini paylaştığından, bunlar da aynı derecede savunmasızdır.
Araştırmacı, bu güvenlik açığından faydalanmak ve tehlikeye atılmış sistemlerden veri çıkarmak için araçlar veya Metasploit modülleri geliştirmenin daha ileri analizleri içerebileceğini öne sürüyor.
Ancak 2.3.0 veya sonraki bir sürüme güncelleme yapmanın, sabit kodlanmış parolayı ortadan kaldırarak bu riski azalttığını vurguluyorlar.
Cisco’nun Akıllı Lisanslama Yardımcı Programını kullanan kuruluşların, olası istismarlara karşı koruma sağlamak için yazılımlarını derhal güncellemeleri önemle rica olunur.
Cisco’nun duyurusunda, etkilenen sistemlerin güvenliğinin sağlanması ve bu güvenlik açığıyla ilişkili risklerin azaltılması konusunda ayrıntılı talimatlar yer alıyor.
Bu keşif, yazılım geliştirme ve dağıtımında sağlam güvenlik uygulamalarının önemini vurgular. Sabit kodlanmış kimlik bilgileri önemli riskler oluşturur ve üretim ortamlarında kaçınılmalıdır.
Siber güvenlik tehditleri geliştikçe, kuruluşların CVE-2024-20439 gibi güvenlik açıklarına karşı sistemlerini koruma konusunda dikkatli ve proaktif olmaları gerekiyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial