Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yakın zamanda, her ikisi de vahşi doğada aktif olarak sömürülen iki kritik güvenlik açığı ekleyerek bilinen sömürülen güvenlik açıklarını (KEV) kataloğunu güncelledi. Adobe Coldfusion ve Oracle Agile Ürün Yaşam Döngüsü Yönetimi (PLM) ile ilgili bu güvenlik açıkları, dünya çapında federal ajanslar ve kuruluşlar için güvenlik riskleri olarak tanımlanmıştır.
Söz konusu güvenlik açıkları, Adobe Coldfusion’ı etkileyen bir seansizasyon kırılganlığı olan CVE-2017-3066 ve Oracle’ın Agile PLM’sinde bulunan benzer bir güvenlik açığı olan CVE-2024-20953’tür. Bunlar gibi festivalleşme güvenlik açıkları, güvenilmeyen veriler bir program tarafından bir nesneyi veya diğer veri yapısını yeniden yapılandırmak için kullanıldığında ortaya çıkar. Kötü niyetli aktörler genellikle bu kusurları, potansiyel olarak tehlikeye atarak keyfi kod yürütmek için kullanırlar.
CVE-2017-3066: Adobe Coldfusion Deserializasyon Güvenlik Açığı
CVE-2017-3066, Adobe Coldfusion’daki Apache Blazeds Kütüphanesi’nde bir Java Sealizasyon Güvenlik Açığı anlamına gelir. Bu güvenlik açığı, ColdFusion 2016 Güncelleme 3 ve Daha önceki, ColdFusion 11 güncelleme 11 ve daha eski ve ColdFusion 10 Update 22 ve daha önce dahil olmak üzere ColdFusion’ın eski sürümlerinde özellikle yaygındır. Adobe, güvenlik açığının uzak saldırganların, başarılı bir şekilde kullanılmadığı takdirde etkilenen sistemlerde keyfi kod yürütmesine izin verebileceğini doğruladı.
Adobe Coldfusion’ın bu eski sürümlerini yürüten kuruluşlar için risk önemlidir. Bu seansizasyon kırılganlığından yararlanmak, saldırganların hassas verilere yetkisiz erişim elde etmesini veya etkilenen sistemler üzerinde kontrol yapmasını sağlayabilir. Güvenlik açığı Agno3 GmbH & Co. KG’den Moritz Bechler tarafından keşfedildi ve daha sonra Adobe tarafından güvenlik sıcaklıkları ile ele alındı. Bu güncellemeler, Apache Blazeds kütüphanesini güncelleyerek kusurun etkili bir şekilde yamalayarak Java sealizasyon kırılganlığını hafifletir.
Adobe, ColdFusion’ın savunmasız sürümlerini kullanan müşteriler için şiddetle tavsiye edilen sorunu çözmek için sıcaklıklar yayınladı. Kullanıcılara ColdFusion 2016 Güncelleme 4, ColdFusion 11 Güncelleme 12 veya ColdFusion 10 Güncelleme 23’e yükseltmeleri tavsiye edilir. Bu güncellemeler, Sistem Korumasını geliştirmek için güvenlik yapılandırma yönergeleri içeren Adobe’nin teknik notlarında bulunabilir.
CVE-2024-20953: Oracle Agile Plm Deserializasyon Güvenlik Açığı
CISA kataloğuna bir başka ek, Oracle’ın Agile ürün yaşam döngüsü yönetimi (PLM) sisteminde bulunan bir güvenlik açığı olan CVE-2024-20953’tür. Oracle bu güvenlik açığını 17 Şubat 2024’te yayınladı ve Agile PLM sürüm 9.3.6’yı etkiliyor. Bu serileştirme güvenlik açığı, özellikle HTTP aracılığıyla ağ erişimi olan düşük ayrıcalıklı saldırganlar tarafından kolayca kullanılabilir olduğu için ilgilidir. CVE-2024-20953’ün başarılı bir şekilde kullanılması, Oracle Agile PLM sisteminin tamamen ele geçirilmesine yol açabilir, saldırganlara verileri manipüle etme, gizlilik, bütünlük ve kullanılabilirliği tehlikeye atma ve potansiyel olarak ciddi operasyonel aksamalara neden olma yeteneği verebilir.
8.8 CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanı ile bu güvenlik açığı, sadece sistemin gizliliğini ve bütünlüğünü değil, aynı zamanda kullanılabilirliğini de etkileyen yüksek şiddet olarak sınıflandırılır. Bu güvenlik açığını hedefleyen istismarlar, özellikle Oracle Agile PLM’nin tedarik zincirlerini, ürün yaşam döngülerini ve diğer kritik iş işlevlerini yönetmede merkezi bir rol oynadığı ortamlarda feci sonuçlara yol açabilir.
Oracle, kullanıcıları Ocak 2024’te yayınlanan kritik yama güncellemelerinde sağlanan mevcut yamaları uygulamaya teşvik eder. Birçok güvenlik kusurunda olduğu gibi Oracle, sistemleri güncel tutmanın önemini vurgular ve müşterilerin sömürü önlemek için kurulumlarının yamalı olmasını önerir. Oracle Agile PLM’nin eski veya desteklenmeyen sürümlerini kullanan kuruluşlar, daha yüksek risk altındadır ve daha güvenli sürümlere yükseltmeye öncelik vermelidir.
Seansizasyon güvenlik açıklarının önemi
Hem CVE-2017-3066 hem de CVE-2024-20953, festivalleşme güvenlik açıklarının yarattığı artan tehdidi vurgulamaktadır. Bu kusurlar, saldırganların fasilileştirme sürecine kötü niyetli veriler enjekte etmelerini sağlar, bu da sistemlere yetkisiz erişim kazanmalarını, kötü niyetli kodları yürütmelerini veya ayrıcalıklarını artırmalarını sağlar. Hem Adobe Coldfusion hem de Oracle Agile PLM tarafından gösterildiği gibi, bu tür güvenlik açıkları çeşitli endüstrilerde ve yazılım ürünlerinde yaygındır.
Sesseralizasyon güvenlik açıkları özellikle tehlikelidir, çünkü saldırganların genellikle giriş doğrulaması gibi geleneksel güvenlik savunmalarını atlamasına izin verirler. Bu güvenlik açıkları genellikle uzaktan sömürüldüğünden, hem özel hem de devlet kuruluşları için, özellikle Coldfusion veya Agile PLM gibi kurumsal düzeydeki çözümlere dayanan ortamlarda kritik bir tehdidi temsil ederler.
Çözüm
CVE-2017-3066 ve CVE-2024-20953 tarafından ortaya çıkan riskleri azaltmak için kuruluşlar, Adobe ve Oracle tarafından sağlanan güvenlik yamalarını düzenli olarak uygulamak, şüpheli faaliyetler için ağ trafiğini izlemek, personelin güvenli uygulamalar hakkında eğitmek gibi güvenlik en iyi uygulamalarına öncelik vermelidir, güvenli uygulamalar, güvenli uygulamalar hakkında eğitim almak zorundadır. Hassas verileri korumak için güçlü erişim kontrollerinin uygulanması ve CISA’nın bilinen sömürülen güvenlik açıkları kataloğuyla güncel kalmak.
Siber saldırılar endüstrileri hedeflemeye devam ettikçe, sistemleri bu güvenlik açıklarından korumak en önemli öncelik olmalıdır. Bu stratejileri izleyerek, kuruluşlar sömürü olasılığını azaltabilir ve Adobe Coldfusion ve Oracle Agile PLM gibi etkilenen ürünlere yönelik saldırıların potansiyel hasarını en aza indirebilir.