Güvenlik araştırmacıları, nispeten yaygın olarak kullanılan PHPFusion açık kaynaklı içerik yönetim sisteminde (CMS) kritik bir güvenlik açığı olarak tanımladıkları bir şeyi keşfettiler.
CVE-2023-2453 olarak tanımlanan kimliği doğrulanmış yerel dosya ekleme kusuru, bir saldırganın kötü amaçla hazırlanmış bir “.php” dosyasını hedef sistemdeki bilinen bir yola yüklemesi durumunda uzaktan kod yürütülmesine olanak tanır.
Bu, Synopsys’teki araştırmacıların yakın zamanda PHPFusion’da keşfettiği iki güvenlik açığından biridir. CVE-2023-4480 olarak takip edilen diğer kusur, CMS’de bulunan ve saldırganlara etkilenen sistemdeki dosyaların içeriğini okuma ve aynı zamanda sistemdeki rastgele konumlara dosya yazma yolu sağlayan orta şiddette bir hatadır.
Güvenlik açıkları PHPFusion’ın 9.10.30 ve önceki sürümlerinde mevcuttur. Şu anda her iki kusur için de yama mevcut değil.
Henüz Bir Yama Mevcut Değil
Synopsys, bu hafta açıklamadan önce PHPFusion’daki yöneticilerle önce e-posta yoluyla, ardından bir güvenlik açığı açıklama süreci, ardından GitHub ve son olarak bir topluluk forumu aracılığıyla birden çok kez iletişime geçmeyi denediğini söyledi. PHPFusion, Dark Reading’in yorum talebine yanıt vermedi.
PHPFusion, 2003’ten beri mevcut olan açık kaynaklı bir CMS’dir. WordPress, Drupal ve Joomla gibi diğer içerik yönetim sistemleri kadar iyi bilinmese de, proje web sitesine göre şu anda dünya çapında yaklaşık 15 milyon web sitesi bunu kullanıyor. . Küçük ve orta ölçekli işletmeler bunu genellikle çevrimiçi forumlar, topluluk odaklı web siteleri ve diğer çevrimiçi projeler oluşturmak için kullanır.
Synopsis’e göre CVE-2023-2453, bozuk dosya adlarına sahip belirli dosya türlerinin uygunsuz şekilde temizlenmesinden kaynaklanmaktadır. Bu sorun, saldırganlara, savunmasız bir PHPFusion sunucusuna isteğe bağlı bir .php dosyasını yükleyip yürütmeleri için potansiyel bir yol sağlıyor.
İstismar Koşulları
Bu güvenlik açığını keşfeden Synopsys Yazılım Bütünlüğü Grubu yazılım mühendisi Matthew Hogg, “Bu güvenlik açığından yararlanmanın aslında iki gereksinimi var” diyor. Bunlardan biri, saldırganın en azından düşük ayrıcalıklı bir hesaba kimlik doğrulaması yapabilmesi, diğeri ise savunmasız uç noktayı bilmesi gerektiğidir. Hogg, “Her iki kriterin de karşılanması durumunda, kötü niyetli bir aktör bu güvenlik açığından yararlanacak bir veri yükü oluşturabilir” diyor.
Synopsys’teki güvenlik açığı yönetimi mühendisi Ben Ronallo, bir saldırganın kötü niyetli olarak hazırlanmış bir .php yükünü savunmasız bir sistemdeki herhangi bir konuma yüklemenin bir yolunu bulması gerektiğini unutmamanın önemli olduğunu söylüyor. Ronallo, “Saldırganın, savunmasız uç noktayı belirlemek için PHPFusion kaynak kodunu incelemesi gerekir” diyor.
Bir saldırganın güvenlik açığından yararlandıktan sonra ne yapabileceği, PHPFusion kullanıcısının hesabıyla ilişkili ayrıcalıklara bağlıdır. Örneğin yönetici kimlik bilgilerine erişimi olan bir saldırgan, temeldeki işletim sistemindeki rastgele dosyaları okuyabilir. “En kötü durumda, bir saldırgan, dahil edilmek üzere hedefe bir yük dosyası yüklemek için bazı araçlara sahip olması koşuluyla, uzaktan kod yürütmeyi (RCE) gerçekleştirebilir” diyor. “Her iki durum da hassas bilgilerin çalınmasına neden olabilir ve ikincisi, savunmasız sunucu üzerinde kontrole izin verebilir.”
Bu arada, Synopsys’in PHPFusion’da keşfettiği daha az ciddi hata (CVE-2023-4480), CMS’nin yönetici paneli aracılığıyla erişilebilen bir Fusion dosya yöneticisi bileşenindeki güncel olmayan bir bağımlılığa bağlıdır. Synopsys, yönetici veya süper yönetici ayrıcalıklarına sahip bir saldırganın, güvenlik açığı bulunan bir sistemdeki dosyaların içeriğini ifşa etmek veya belirli dosya türlerini sunucunun dosya sistemindeki bilinen yollara yazmak için bu güvenlik açığından yararlanabileceğini söyledi.