Axis Communications’ın Autodesk Revit eklentisindeki kritik bir güvenlik açığı, Azure Depolama Hesabı kimlik bilgilerini açığa çıkararak müşteriler için önemli güvenlik riskleri oluşturdu ve potansiyel olarak mimari ve mühendislik sektörünü hedef alan tedarik zinciri saldırılarına olanak sağladı.
Güvenlik açığı, eklentinin Microsoft Installer (MSI) paketi aracılığıyla müşterilere dağıtılan imzalı Dinamik Bağlantı Kitaplıkları (DLL’ler) içine yerleştirilmiş sabit kodlu kimlik bilgilerinden kaynaklanıyor.
Güvenlik açığı, Temmuz 2024’te Trend Micro’nun VirusTotal kurallarının “AzureBlobRestAPI.dll” adlı dijital olarak imzalanmış bir DLL dosyasında Azure Paylaşılan Erişim İmzası (SAS) belirteçlerini tespit etmesiyle keşfedildi.
Etkilenen bileşen, AutoCAD ve Revit platform danışmanlığında uzmanlaşmış bir Autodesk ortağı olan AEC İleri Mühendislik Hesaplama Aktiebolag’a verildi.
Bu keşif, birden fazla güvenlik açığı raporu ve yamayı içeren, aylar süren bir iyileştirme sürecini başlattı.
Açığa çıkan kimlik bilgileri, ağ video çözümleri ve gözetim teknolojisinde uzmanlaşmış İsveçli çok uluslu bir şirket olan Axis Communications’a ait üç Azure depolama hesabına yetkisiz okuma ve yazma erişimi sağladı.
Bu hesaplar, Axis Plugin for Autodesk Revit için MSI yükleyicileri ve müşteriler tarafından bilgi modelleme projeleri oluşturmak için kullanılan Revit Family Architecture (RFA) dosyaları dahil olmak üzere kritik varlıkları içeriyordu.
Güvenlik açığının etkisi, saldırganların yasal dosyaları kötü amaçlı sürümlerle değiştirme ve güvenilir dağıtım mekanizmasını etkili bir şekilde silahlandırma potansiyeli nedeniyle daha da arttı.
Trend Micro analistleri, kimlik bilgilerinin açığa çıkmasının ötesinde ek güvenlik endişeleri tespit etti. Sıfır Gün Girişimi (ZDI) araştırmaları aracılığıyla, Autodesk Revit’te kötü amaçlı RFA dosyalarının içe aktarılmasıyla tetiklenebilecek çok sayıda uzaktan kod yürütme güvenlik açığı keşfettiler.
Bu güvenlik açıklarının birleşimi, tehdit aktörlerinin potansiyel olarak depolama hesaplarını tehlikeye atabileceği, hazırlanmış RFA dosyalarını yükleyebileceği ve Autodesk Revit yazılımını kullanarak Axis Communications müşterilerinin toplu olarak ele geçirilmesine yol açabileceği tehlikeli bir saldırı vektörü yarattı.
Bu keşif, mimari ve mühendislik yazılımı ekosistemindeki daha geniş tedarik zinciri güvenlik risklerini vurguluyor.
Eklentinin tasarım kusurları, uygun güvenlik kontrolleri uygulanmadığında güvenilir üçüncü taraf entegrasyonlarının nasıl saldırı vektörlerine dönüşebileceğini gösteriyor.
Güvenlik Açığı Teknik Analizi
Güvenlik açığının teknik temeli, eklentinin mimarisindeki zayıf kimlik bilgisi yönetimi uygulamalarında yatmaktadır.
Araştırmacılar, “AzureBlobRestAPI.DataTypes.Classes.Global” sınıfının “internalSetEnvironment” adlı özel bir yöntemine gömülü “axisfiles” ve “axiscontentfiles” adlı iki Azure depolama hesabı için açık metin Azure SAS belirteçleri ve paylaşılan erişim anahtarı çiftleri buldu.
Kimlik bilgileri, depolama hesapları genelinde tam okuma, yazma, silme, listeleme, ekleme, oluşturma, güncelleme, işleme ve yürütme izinleri dahil olmak üzere kapsamlı ayrıcalıklar sağladı.
.webp)
Bu erişim düzeyi, en az ayrıcalık ilkesinin çok ötesine geçerek, saldırganların yalnızca mevcut içeriğe erişmesine değil, aynı zamanda dağıtım mekanizmalarını değiştirmesine ve kötü amaçlı dosyalar yüklemesine de olanak tanıyor.
Axis Communications başlangıçta sorunu 25.3.710 sürümüyle düzeltmeye çalıştığında, Eazfuscator gibi araçları kullanarak kod gizleme uyguladı.
Ancak, gizlenen kimlik bilgilerinin de4dot gibi kamuya açık araçlar kullanılarak kolayca çözülebilmesi nedeniyle bu yaklaşımın yetersiz olduğu ortaya çıktı.
Gizleme, kimlik bilgilerinin istemci tarafı koduna yerleştirilmesindeki temel tasarım kusurunu ele almak yerine, yalnızca gizlilik yoluyla güvenlik sağladı.
Güvenlik açığının kalıcılığı, eklenti yükleyicilerinin geçmiş sürümlerini içeren depolama hesapları nedeniyle daha da karmaşık hale geldi.
Araştırmacılar, 25.3.711 sürümünde salt okunur SAS belirteçlerini uyguladıktan sonra bile, saldırganların, tüm geçmiş sürümler uygun şekilde güvence altına alınana kadar iyileştirme çabalarını etkili bir şekilde atlayarak, aşırı izin veren kimlik bilgilerini içeren önceki eklenti sürümlerine hâlâ erişebildiğini keşfetti.
Axis Communications, güvenlik açıklarının mevcut 25.3.718 sürümünde tamamen yamandığını ve daha önce bildirilen tüm sorunların çözüldüğünü doğruladı.
Şirket ayrıca etkilenen iş ortaklarını ve müşterilerini bilgilendirmek için proaktif adımlar atarak Autodesk Revit eklentisinin yalnızca belirli iş ortaklarına sunulduğunu ve genel olarak genel kullanıma açık olmadığını vurguladı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
