Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), popüler video konferans uygulaması Zoom’da bulunan çok sayıda güvenlik açığı hakkında ayrıntılı bir güvenlik tavsiyesi yayınladı.
Zoom yazılımının çeşitli sürümlerinde tanımlanan bu Zoom güvenlik açıkları, potansiyel olarak saldırganların hassas bilgilere yetkisiz erişim elde etmesine, ayrıcalıkları yükseltmesine veya hizmeti kesintiye uğratmasına izin vererek kullanıcıları hedef alıyor.
Güvenlik açıkları, aralarında Zoom Workplace Uygulaması, Zoom Rooms Client ve Zoom Video SDK’nın da bulunduğu çeşitli Zoom ürünlerinde ve macOS, iOS, Windows, Linux ve Android gibi birden fazla işletim sisteminde mevcuttur.
Şüphelenmeyen Kullanıcıları Hedefleyen Zoom Güvenlik Açıkları
Güvenlik açıkları, başta 6.2.0 sürümünden öncekiler olmak üzere çok çeşitli Zoom uygulamalarını etkiliyor. Etkilenen ürünler şunları içerir:
- 6.2.0 sürümünden önceki macOS, iOS, Windows, Linux ve Android için Zoom Workplace Uygulaması.
- 6.2.0 sürümünden önceki Windows, iPad ve macOS için Zoom Rooms İstemcisi.
- 6.2.0 sürümünden önce birden fazla platform (Windows, macOS, Linux, Android) için Zoom Rooms Controller.
- 6.2.0 sürümünden önceki macOS, iOS, Windows, Linux ve Android için Zoom Video SDK’sı ve Zoom Meeting SDK’sı.
- 6.1.12 sürümünden önceki Windows için Zoom Workplace VDI İstemcisi (6.0.14 sürümü hariç).
Bu ürünlerde bulunan güvenlik açıkları, hatalı giriş doğrulama, arabellek taşmaları, sembolik bağlantı takibi ve kontrolsüz kaynak tüketimi gibi çeşitli sorunlardan kaynaklanmaktadır. Bu zayıflıklar, bir sisteme yetkisiz erişimden, ayrıcalık yükseltmeye ve hatta hizmet reddi (DoS) koşullarına kadar uzanan kötü niyetli sonuçlara yol açabilir.
Zoom’daki Güvenlik Açıklarının Detayları
1. Uygunsuz Giriş Doğrulaması (CVE-2024-45422)
CVE-2024-45422 kapsamında bildirilen en kritik güvenlik açıklarından biri, Zoom Uygulamalarında hatalı giriş doğrulamayı içeriyor. Sürüm 6.2.0’dan önce bu kusur, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla hizmet reddi (DoS) saldırısı başlatmasına olanak tanıyordu. Sorun, macOS, iOS, Windows, Linux ve Android dahil olmak üzere birden fazla platformdaki Zoom Workplace Uygulamasını etkiliyor.
Bu güvenlik açığının CVSS ciddiyeti, CVSS puanı 6,5 ile orta olarak sınıflandırılmıştır. Bu sorundan kaynaklanabilecek olası aksaklıkları önlemek için kullanıcıların güncellemeleri derhal uygulamaları önerilir.
2. Arabellek Taşması Güvenlik Açığı (CVE-2024-45421)
CVE-2024-45421 olarak tanımlanan bir diğer kritik güvenlik açığı, bazı Zoom Uygulamalarındaki arabellek taşması ile ilgilidir. Bu kusur, kimliği doğrulanmış bir kullanıcı tarafından ağ erişimi yoluyla ayrıcalıkları yükseltmek için kullanılabilir. Bu durum, Zoom Workplace Uygulaması, Zoom Rooms İstemcisi ve Zoom Video SDK’nın birden fazla platformdaki sürümlerini etkiler.
Bu güvenlik açığının CVSS ciddiyeti, 8,5 CVSS puanıyla yüksek olarak sınıflandırılmıştır. Yüksek riskli doğası göz önüne alındığında, bu güvenlik açığı saldırganların yükseltilmiş ayrıcalıklar elde etmesine ve potansiyel olarak etkilenen sistem üzerinde tam kontrol sahibi olmalarına olanak tanıyabilir.
3. Kontrolsüz Kaynak Tüketimi (CVE-2024-45420)
CVE-2024-45420, Zoom Uygulamalarında kontrolsüz kaynak tüketimine yol açan bir güvenlik açığını açıklamaktadır. Bu kusur, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmet reddi (DoS) saldırısı gerçekleştirmesine olanak tanır; bu da sistemin yavaşlamasına veya hizmetin tamamen kesintiye uğramasına neden olabilir.
Bu güvenlik açığının CVSS ciddiyeti, 4,3 CVSS puanıyla orta düzeyde sınıflandırılmıştır. Etkilenen sürümler arasında Zoom Workplace Uygulaması ve Zoom Rooms İstemcisi yer alıyor. Bu güvenlik açığı Windows, macOS ve iOS dahil birden fazla platformdaki sistemleri etkiliyor.
4. Sembolik Bağlantı Takip Ediliyor (CVE-2024-45418)
MacOS için bazı Zoom uygulamalarının yükleyicisinde sembolik bağlantı takibi nedeniyle CVE-2024-45418 adında daha düşük önem derecesine sahip bir güvenlik açığı mevcuttur. Bu kusur, kimliği doğrulanmış bir kullanıcının ayrıcalıkları yükseltmesine olanak tanıyarak sistem dosyalarına yetkisiz erişime veya değişiklik yapılmasına yol açabilir.
Bu kusurun CVSS ciddiyeti, 5,4 CVSS puanıyla orta olarak sınıflandırılmıştır. Bu durum, macOS için Zoom Workplace Uygulamasını ve 6.1.5’ten önceki sürümlere sahip macOS’taki diğer Zoom ürünlerini etkiler.
5. Uygunsuz Giriş Doğrulaması ve Bilgi Açıklaması (CVE-2024-45419)
CVE-2024-45419 olarak tanımlanan bu güvenlik açığı, hatalı giriş doğrulamaya izin vererek hassas bilgilerin ifşa edilmesine neden olabilir. Kimliği doğrulanmamış bir kullanıcı, ağ erişimi yoluyla hassas verilere erişmek için bu kusurdan yararlanabilir ve önemli bir güvenlik tehdidi oluşturabilir.
Bu güvenlik açığı, CVSS puanı 8,1 olan yüksek olarak sınıflandırılmıştır. Çeşitli Zoom uygulamalarında mevcut olup Windows, macOS, iOS, Android ve Linux dahil olmak üzere birden fazla işletim sistemini etkilemektedir.
6. macOS Yükleyicilerinde Kontrolsüz Kaynak Tüketimi (CVE-2024-45417)
Listedeki son güvenlik açığı olan CVE-2024-45417, macOS için bazı Zoom uygulamalarının yükleyicisindeki kontrolsüz kaynak tüketimiyle ilgilidir. Bu kusur, özellikle ayrıcalıklı bir kullanıcının kötü amaçlı kod çalıştırdığı durumlarda, yerel erişim yoluyla bilgilerin açığa çıkmasına yol açabilir.
CVSS önem derecesi orta ve 6,0 puana sahip bu güvenlik açığı, Zoom Workplace Uygulaması, Zoom Meeting SDK’sı ve Zoom Video SDK’sı da dahil olmak üzere macOS için çeşitli Zoom ürünlerini etkiliyor.
Çözüm
Zoom ürünlerindeki güvenlik açıklarının ciddiyeti yüksek olduğundan zamanında güncellemeler önemlidir. CERT-In, potansiyel tehditlere karşı korunmak için tüm kullanıcıları en son yamaları uygulamaya çağırdı. Bu güvenlik açıkları, hassas verilere yetkisiz erişim ve hem bireyleri hem de kuruluşları etkileyebilecek hizmet kesintileri dahil olmak üzere önemli riskler oluşturur.
Zoom sorunları kabul etti ve bunları çözmek için web sitelerinde mevcut olan güncellemeleri yayınladı. Bu, siber güvenliğin sürdürülmesinde düzenli yazılım güncellemelerinin önemini vurgulamaktadır. CERT-In’in bu güvenlik açıklarını belirleme çabaları, dijital altyapıların güvenliğini sağlama konusundaki kararlılığını göstermektedir ve kullanıcılar en iyi uygulamaları takip ederek kötüye kullanım riskini azaltabilir ve bilgilerini koruyabilir.
İlgili