Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuna yeni bir güvenlik açığı olan CVE-2021-44207’nin eklendiğini duyurdu. Bu eylem, aktif istismarın kanıtlarını takip eder ve kuruluşları bu güvenlik açığının oluşturduğu potansiyel riskler konusunda uyarmayı amaçlar.
CVE-2021-44207’ye Genel Bakış
Acclaim Systems USAHERDS web uygulaması sürüm 7.4.0.1 ve önceki sürümlerde (Kasım 2021 öncesi sürümler) tanımlanan CVE-2021-44207, sabit kodlanmış bir kimlik bilgileri güvenlik açığıdır. CWE-798 altında sınıflandırılan güvenlik açığı, statik ValidationKey ve DecryptionKey değerlerinin kullanılmasından kaynaklanmaktadır.
Uygulamanın ViewState güvenliğinin ayrılmaz bir parçası olan bu anahtarlar, uzaktan kod yürütme (RCE) sağlamak için kullanılabilir. Bu anahtarlara erişimi olan kötü niyetli bir aktör, uygulama sunucusunu, kötü amaçlarla oluşturulmuş bir ViewState yükünün seri durumdan çıkarılması için manipüle edebilir ve bu da potansiyel olarak uygulamayı barındıran sunucuda yetkisiz kod yürütülmesine olanak sağlayabilir.
Temel Ayrıntılar:
- Yayınlanma tarihi: 21 Aralık 2021
- Güncellendi: 21 Aralık 2021
- Darbe: Yüksek – Sabit kodlanmış anahtarların bilgisi RCE’ye yol açabilir.
- Kullanılabilirlik: Düşük – Sabit kodlu anahtarların öncelikle başka bir güvenlik açığından veya alternatif bir kanaldan edinilmesi gerekir.
Güvenlik Açığının Teknik Dağılımı
Acclaim Systems USAHERDS web uygulaması, ViewState verilerinin bütünlüğünü ve gizliliğini sağlamak için ValidationKey ve DecryptionKey değerlerinden yararlanır. ViewState, istemci ve sunucu etkileşimleri arasındaki web uygulaması kontrollerinin durumunu sürdürmek için kullanılır.
Bu anahtarlar sabit kodlandığında ve saldırgan tarafından bilindiğinde aşağıdaki riskler ortaya çıkar:
- Bütünlük Kontrollerini Atlamak: Saldırgan, Mesaj Kimlik Doğrulama Kodu (MAC) doğrulama sürecini atlayan bir ViewState verisi oluşturabilir.
- Kötü Amaçlı Verilerin Seriden Çıkarılması: Hazırlanan veri daha sonra sunucu tarafından seri durumdan çıkarılabilir, bu da potansiyel olarak yetkisiz kod çalıştırılmasına ve uygulamanın tehlikeye atılmasına neden olabilir.
Bu güvenlik açığının yüksek etki derecesi, başarılı bir güvenlik açığından yararlanmanın potansiyel sonuçlarından kaynaklanmaktadır. Ancak istismar edilebilirlik oranının düşük olması, saldırganın öncelikle başka bir güvenlik açığından yararlanmak veya hassas sistem yapılandırmalarına erişmek gibi ayrı bir yöntemle sabit kodlu anahtarlara erişmesi gerektiğini gösteriyor.
Siber Güvenliğe Etkileri
Bu tür güvenlik açıkları yaygın saldırı vektörleridir ve özellikle federal şirketler için önemli riskler oluşturabilir. CVE-2021-44207’yi fidye yazılımı kampanyalarıyla ilişkilendiren doğrulanmış bir kanıt bulunmamakla birlikte, kötüye kullanım olasılığı göz ardı edilemez. Bu tür güvenlik açıklarından yararlanmak, kötü niyetli aktörlerin kritik sistemleri tehlikeye atmasına, hassas verileri çalmasına veya operasyonları kesintiye uğratmasına olanak tanıyabilir.
Azaltma Eylemleri
CISA, kuruluşlara bu güvenlik açığını gidermek için derhal harekete geçmelerini tavsiye ediyor. Önerilen adımlar şunları içerir:
- Satıcı Azaltmalarını Uygulayın: Uygulamanın güvenliğini sağlamak için satıcı tarafından sağlanan talimatları izleyin.
- Kullanımı Durdurun: Azaltma yöntemleri mevcut değilse, savunmasız ürünün kullanımına son vermeyi düşünün.
- Satıcı Desteğiyle İletişime Geçin: Bu güvenlik açığına yama uygulanması veya bu güvenlik açığının azaltılması konusunda ayrıntılı rehberlik için Acclaim Systems’e ulaşın.
CISA ayrıca kuruluşları, KEV Kataloğunda listelenen güvenlik açıklarının iyileştirilmesine öncelik vererek proaktif önlemleri güvenlik açığı yönetimi uygulamalarına entegre etmeye çağırıyor.
Keşif ve Teşekkür
Güvenlik açığı, Mandiant’tan Douglas Bienstock tarafından keşfedildi ve bildirildi. Çalışmaları, kötü niyetli aktörlerin yararlanabileceği kritik kusurların belirlenmesinde sıkı testlerin ve raporlamanın önemini vurguluyor.
Bağlayıcı Operasyonel Direktif (BOD) 22-01
CVE-2021-44207’nin KEV Kataloğuna dahil edilmesi, CISA’nın Bağlayıcı Operasyonel Direktifi (BOD) 22-01: Bilinen İstismar Edilen Güvenlik Açıklarına İlişkin Önemli Riskin Azaltılması ile uyumludur. Federal siber güvenliği artırmak için oluşturulan BOD 22-01, Federal Sivil Yürütme Organı (FCEB) kurumları tarafından kataloglanmış güvenlik açıklarının belirli zaman çizelgeleri içerisinde düzeltilmesini zorunlu kılar.
BOİ 22-01’in Önemli Noktaları:
- Amaç: Bilinen güvenlik açıklarını gidererek FCEB ağlarını aktif tehditlere karşı koruyun.
- Kapsam: Doğrudan FCEB kuruluşlarına uygulanır ancak tüm kuruluşların takip edeceği bir referans noktası görevi görür.
- Eylem Çağrısı: CISA, siber saldırılara maruz kalmayı en aza indirmek için özel kuruluşların KEV Kataloğunu güvenlik açığı yönetimi süreçlerine dahil etmelerini güçlü bir şekilde teşvik etmektedir.
Kuruluşlara Yönelik Daha Geniş Öneriler
CISA’nın eylemleri, bilinen güvenlik açıklarının oluşturduğu kalıcı tehditlerin bir hatırlatıcısıdır. Kuruluşlar, güvenlik duruşlarını güçlendirmek için aşağıdaki en iyi siber güvenlik uygulamalarını benimsemelidir:
- Düzenli Güvenlik Açığı Değerlendirmeleri: Sistemlerinizdeki güvenlik açıklarını belirlemek ve gidermek için sık sık değerlendirmeler yapın.
- Zamanında Yama Yönetimi: Tüm sistemlerin en son güvenlik yamalarıyla güncel olduğundan emin olun.
- Tehdit İstihbaratını İzleyin: Yeni tanımlanan güvenlik açıkları ve aktif kötüye kullanımlar hakkında bilgi sahibi olun.
- Sabit Kodlu Kimlik Bilgilerini Sınırlayın: Uygulamalarda statik anahtarlar veya kimlik bilgileri kullanmaktan kaçının. Bu tür bir kullanımın kaçınılmaz olduğu durumlarda güvenli anahtar yönetimi uygulamalarını uygulayın.
Çözüm
CVE-2021-44207’nin CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna eklenmesi, günümüzün siber güvenlik ortamında dikkatli olmanın ve zamanında iyileştirmenin önemini vurgulamaktadır. Bu güvenlik açığından yararlanılması için belirli koşullar gerekli olsa da, etkilenen sistemler üzerindeki potansiyel etkisi önemlidir.
Kuruluşların, federal kurumlarla bağlantıları ne olursa olsun, sistemlerini bu ve diğer kataloglanmış güvenlik açıklarına karşı korumak için acil adımlar atmaları teşvik edilmektedir.
İlgili