20 Mart 2024’te Progress Software, Telerik Rapor Sunucusu ürünlerinde üç güvenlik açığını açıkladı. Güvenlik açıkları CVE-2024-1800, CVE-2024-1801 ve CVE-2024-1856 olarak tanımlandı.
31 Mayıs 2024’te açıklanan başka bir Progress Telerik Rapor Sunucusu güvenlik açığı (CVE-2024-4358), potansiyel olarak saldırganların, etkilenen Progress Telerik yazılım sürümlerinin yüklü olduğu sistemlerde kod yürütmesine izin verebilir. Belçika Siber Güvenlik Merkezi yakın zamanda müşterileri bu güvenlik açıklarını düzeltmeye çağıran bir güvenlik tavsiyesi yayınladı.
Progress Telerik Güvenlik Açıklarına Genel Bakış
CCB, dört güvenlik açığının tamamını, ilgili riskleri ve çalışma açıklarını ayrıntılı olarak açıkladı ve her bir güvenlik açığıyla ilgili ek ayrıntıları içeren bağlantılar sağladı.
Güvenli Olmayan Seriden Çıkarma Güvenlik Açıkları
İlk iki güvenlik açığı (CVE-2024-1801 ve CVE-2024-1856), Progress Telerik Reporting’deki güvenli olmayan seri durumdan çıkarma güvenlik açıklarıdır. Saldırganlar, rastgele kod çalıştırmak için bu güvenlik açıklarından yararlanabilir.
Yerel erişimi olan bir saldırgan CVE-2024-1801’den yararlanma potansiyeline sahipken, belirli web uygulamalarında yanlış yapılandırmalar olması durumunda CVE-2024-1856’dan uzaktan yararlanılabilir.
Uzaktan Kod Yürütme Güvenlik Açığı
Üçüncü güvenlik açığı (CVE-2024-1800), Progress Telerik Rapor Sunucusu’ndaki güvenli olmayan bir seri durumdan çıkarma güvenlik açığıdır. Güvenlik açığından başarıyla yararlanılması, etkilenen sistemlerde rastgele kodun uzaktan yürütülmesine olanak tanıyabilir.
Progress Telerik Rapor Sunucusu’nun 2024 1. Çeyrek (10.0.24.130) öncesi sürümleri bu soruna karşı savunmasızdır.
Kimlik Doğrulamada Atlama Güvenlik Açığı
Daha sonra açıklanan ek bir güvenlik açığı olan CVE-2024-4358, Telerik Rapor Sunucusunu etkilemektedir. Bu, kimliği doğrulanmamış bir saldırganın İlerleme Telerik Rapor Sunucusu içindeki kısıtlı işlevlere erişim sağlamasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığıdır.
Sorun, Progress Telerik Report Server’ın 2024 1. çeyreğine (10.0.24.305) kadar olan sürümlerini etkilemektedir.
Telerik Güvenlik Açıkları için Önerilen Eylemler
Belçika Siber Güvenlik Merkezi, kapsamlı testlerden sonra, savunmasız cihazlara Progress Telerik’in mevcut en son yazılım güncellemelerinin uygulanmasını şiddetle tavsiye ediyor. Progress Telerik, daha önce bildirilen üç güvenlik açığını düzeltmenin tek yolunun mevcut en son sürüme (10.1.24.514) güncelleme yapmak olduğunu açıkça belirtti.
Kimlik doğrulama atlama güvenlik açığı (CVE-2024-4358) için Progress Telerik, geçici bir azaltım yayınladı. Bu azaltım, güvenlik açığı bulunan “başlangıç/kayıt” yoluna erişimi engellemek için IIS’de bir URL Yeniden Yazma kuralının uygulanmasını içerir.
Belçika Siber Güvenlik Merkezi, kuruluşları bu güvenlik açıklarıyla ilişkili kötü amaçlı faaliyetlere karşı tetikte olmak için izleme ve tespit yeteneklerini güçlendirmeye çağırıyor. Kuruluşlara, tespit edilen izinsiz girişlere hızlı bir şekilde yanıt verirken yetkisiz hesapların eklenmediğinden emin olmak için İlerleme Telerik Rapor Sunucusu içindeki kullanıcı listesini kontrol etmeleri de tavsiye edilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.