VTENEXT CRM sürüm 25.02’nin kapsamlı bir güvenlik analizi, kimlik doğrulanmamış saldırganların üç farklı saldırı vektörüyle kimlik doğrulama mekanizmalarını atlamasına izin veren ve sonuçta hedef sistemlerde uzaktan kod yürütülmesine yol açan birden fazla kritik güvenlik açığı ortaya koymuştur.
İtalya genelinde çok sayıda küçük ve orta ölçekli işletme tarafından kullanılan İtalyan CRM çözümü, satıcı bildirimlerine rağmen önemli bir güvenlik maruziyetiyle karşı karşıyadır.
Key Takeaways
1. Three authentication bypasses let attackers impersonate any user.
2. Post‐login, LFI and module‐upload flaws enable remote code execution.
3. Only the password‐reset issue was silently patched; others still need fixes.
XSS ve Oturum Kaçırma
Sicuranext, ilk saldırı vektörünün yansıtılan siteler arası komut dosyası (XSS), CSRF jeton baypası ve oturum çerez açıklamasını birleştiren bir güvenlik açığı zincirinden yararlandığını bildiriyor.
WidgetID parametresinin sunucu yanıtlarına yansımadan önce yetersiz dezenfektana maruz kaldığı modüllerde/home/homewidgetblocklist.php’de kritik bir kusur.
Güvenlik açığı, kötü amaçlı yükler içeren JSON yanıtları, Güvenli Uygulama/JSON formatı yerine içerik tipi: Text/HTML başlıkları ile teslim edildiğinde ve gömülü JavaScript kodunun tarayıcı yürütülmesini sağladığında ortaya çıkar.
Saldırganlar hazırlanmış istekleri kullanarak kötü amaçlı komut dosyaları enjekte edebilir:
HTTP yöntemi kurcalama yoluyla elde edilen bir CSRF jeton doğrulama bypass ile birleştirildiğinde sömürü özellikle tehlikeli hale gelir.
Uygulamanın $ _Request SuperGlobal’a olan güveni, saldırganların talepleri almak için sonrası istekleri dönüştürmesine olanak tanır ve CSRF koruma mekanizmalarını/UTILS/VTECSRF.php dahilinde tamamen atlatır.
Bu tasarım kusuru, saldırganların geçerli CSRF tokenlerine ihtiyaç duymadan XSS güvenlik açıklarından yararlanmasını ve saldırı karmaşıklığını önemli ölçüde düşürmelerini sağlar.
SQL Enjeksiyon Güvenlik Açığı
İkinci kimlik doğrulama bypass vektörü, hassas kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çıkarmak için modüller/faks/editview.php’deki SQL enjeksiyon güvenlik açıklarından yararlanır.
Savunmasız kod, kullanıcı tarafından kontrol edilen girişi doğrudan birleştirerek veritabanı sorguları oluşturur:
Her ne kadar hazırlanan ifadeler kullanılsa da, $ FieldName parametresi muhafaza edilmez ve saldırganların çıkarma için keyfi veritabanı sütunları belirtmesine izin verir.
Daha eleştirel olarak, saldırganlar şifre sıfırlama jetonlarını çıkarmak için alt kısım enjeksiyonundan yararlanabilir.
Bu çıkarılan jetonlar, kullanıcı etkileşimi olmadan anında şifre sıfırlama işlemlerini etkinleştirerek tam hesap devralma özellikleri sağlar.
Doğrudan Parola Sıfırlama Güvenlik Açığı
Üçüncü saldırı vektörü olarak belirlenen en şiddetli güvenlik açığı, hub/rpwd.php’de keyfi bir şifre sıfırlama kusuru içerir.
Bu uç nokta, yalnızca hedef kullanıcı adını kullanarak herhangi bir kullanıcı hesabı için şifre değişikliğine izin veren yeterli güvenlik doğrulamasına sahip olmayan bir CHARCE_PASSWORD eylemi ortaya çıkarır.
Modüller/Kullanıcılar/RecoverPwd.php’deki savunmasız kod yolu, uygun kimlik doğrulama doğrulaması olmadan şifre değiştirme isteklerini işler:
True olarak ayarlanan skipoldpwdcheck parametresi, parola doğrulamasını tamamen atlar ve saldırganların tek bir HTTP isteği aracılığıyla herhangi bir kullanıcının kimlik bilgilerini sıfırlamasını sağlar. Bu güvenlik açığı, araştırma açıklamasının ardından 25.02.1 sürümünde yamalanmıştır.
Uzaktan Kod Yürütme Koşusu
Kimlik doğrulama bypass elde edildikten sonra, saldırganlar çeşitli tekniklerle uzaktan kod yürütülmesine yükselebilir.
Uygulama, uygun dezenfektan olmadan dosya dahil etme işlevlerinde kullanıcı girişini kabul eden birden fazla yerel dosya dahil etme (LFI) güvenlik açıkları içerir.
Kritik LFI güvenlik açıkları:
- Modüller/Ayarlar/LayoutBlockListutils.php
- Modüller/Takvim/ActivityAjax.php
- modüller/takvim/wdcalendar.php
Yol geçiş dizileri (../), hedef dosyaların .php uzantılarına sahip olması gerektiği sınırlamasıyla keyfi dosya dahil edilmesini etkinleştirir.
Yükleme kısıtlamaları doğrudan PHP dosya yüklemelerini önlerken, araştırmacılar PECRMD.PHP gadget’ları aracılığıyla RCE sömürüsü gösterdiler.
Ayrıca, VTenExt yöneticileri, RCE’ye doğrudan bir yol sağlayarak Modulemanager arayüzü aracılığıyla özel modülleri yükleyebilir.
Vtenext CRM’yi kullanan kuruluşlar derhal 25.02.1 veya daha sonraki sürümlere yükseltilmeli ve bu kritik güvenlik açıklarını azaltmak için ek güvenlik önlemleri uygulamalıdır.
Satıcının sorumlu açıklama girişimlerine gecikmiş yanıtı, proaktif güvenlik izleme ve kurumsal ortamlarda hızlı yama dağıtımının önemini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.