XWiki’nin SolrSearch bileşenini etkileyen kritik bir uzaktan kod yürütme güvenlik açığı, yaygın istismar girişimlerinin hedefi haline geldi ve siber güvenlik yetkililerinin bunu izleme listelerine eklemesine neden oldu.
Bu kusur, minimum konuk ayrıcalıklarına sahip saldırganların savunmasız sistemlerde rastgele komutlar yürütmesine olanak tanıyor ve bu açık kaynaklı kurumsal wiki platformunu kullanan kuruluşlar için önemli bir güvenlik riski oluşturuyor.
Kendisini gelişmiş bir açık kaynaklı kurumsal wiki ve Confluence ve MediaWiki gibi platformlara alternatif olarak konumlandıran XWiki, Şubat ayında bu ciddi güvenlik açığını gideren bir güvenlik tavsiyesi ve yaması yayınladı.
Kusur, SolrSearch bileşeninde bulunuyor ve kullanım için önemli ölçüde yalnızca konuk düzeyinde ayrıcalıklar gerektiriyor, bu da onu temel sistem erişimine sahip hemen hemen her kullanıcı için erişilebilir kılıyor.
Güvenlik Açığı Keşfi ve Gecikmeli Sömürü
Danışmanlık belgesinin yanı sıra kavram kanıtlama kodunun da erken yayımlanması, güvenlik açığından yararlanma zaman çizelgesinde olağandışı derecede gecikme yaşandığı anlamına geliyordu. İlk keşif taramaları Temmuz ayında ortaya çıktı, ancak fiili istismar girişimleri yakın zamana kadar artış göstermedi.
Yararlanma yöntemi nispeten basit yürütme modellerini gösterir. Saldırganlar, özellikle SolrSearch RSS medya işlevini hedef alarak, savunmasız XWiki uç noktasına özel hazırlanmış GET istekleri gönderir.
SANS, kötü niyetli isteklerin Groovy komut dosyası komutlarını eşzamansız yürütme blokları içine yerleştirdiğini ve kabuk komutları aracılığıyla uzaktan kod yürütülmesine olanak sağladığını gözlemledi.
Yakalanan istismar girişimleri, saldırganların harici sunuculardan, özellikle de 74.194.191.52 IP adresinden kabuk komut dosyaları indirmeye ve yürütmeye çalıştığını ortaya koyuyor.
Bu isteklerdeki Kullanıcı Aracısı dizesi e-posta adresini içerir [email protected]potansiyel olarak tehdit aktörüne ait.
Barındırma sunucusunun araştırılması, her ikisi de daha önce karşıt çete bağlantıları ile ilişkilendirilen esaret altındaki rapçi King Lil Jay ve rakibi RondoNumbaNine’a atıfta bulunularak Chicago rap kültürüyle beklenmedik bir bağlantıyı ortaya çıkardı.
Güvenlik açığı, uzaktan kod yürütme yetenekleri aracılığıyla sistemin tamamının ele geçirilmesine olanak tanıdığı için kritik riskler barındırıyor. XWiki kurulumlarını çalıştıran kuruluşlar, olası ihlalleri önlemek için anında yama uygulamaya öncelik vermelidir.
Saldırının kullanıcı etkileşimi gerektirmemesi ve minimum düzeyde karmaşıklık gerektirmesi, saldırıyı özellikle toplu internet tarama kampanyaları yürüten fırsatçı tehdit aktörleri için çekici kılıyor.
Güvenlik ekipleri, XWiki kurulumlarının Şubat güvenlik yamasıyla güncellendiğini doğrulamalı, şüpheli SolrSearch isteklerini izlemeli ve istismar girişimlerini tespit etmek için ağ düzeyinde korumalar uygulamalıdır.
Düşük saldırı karmaşıklığı ve yaygın tarama etkinliğinin birleşimi, bu güvenlik açığının kötü niyetli aktörler için yüksek öncelikli bir hedef olmaya devam edeceğini gösteriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
