LogicalDOC, Mayan, ONLYOFFICE ve OpenKM olmak üzere dört sağlayıcının açık kaynaklı ve ücretsiz Doküman Yönetim Sistemi (DMS) tekliflerinde çok sayıda yama yapılmamış güvenlik kusuru ifşa edilmiştir.
Siber güvenlik firması Rapid7, sekiz güvenlik açığının “bir saldırganın bir insan operatörü platformda kötü niyetli bir belgeyi kaydetmeye ikna edebileceği ve belge kullanıcı tarafından dizine eklendiğinde ve tetiklendiğinde, saldırgana kuruluşu kontrol etmesi için birden fazla yol sağlayan bir mekanizma sunduğunu söyledi. .”
Rapid7 araştırmacısı Matthew Kienow tarafından keşfedilen sekiz siteler arası komut dosyası çalıştırma (XSS) kusurunun listesi şu şekildedir:
- CVE-2022-47412 – ONLYOFFICE Çalışma Alanı Araması Depolanan XSS
- CVE-2022-47413 ve CVE-2022-47414 – OpenKM Belgesi ve Uygulama XSS
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 ve CVE-2022-47418 – LogicalDOC Çoklu Kayıtlı XSS
- CVE-2022-47419 – Maya EDMS Etiketi Depolanmış XSS
Kalıcı XSS olarak da bilinen depolanan XSS, kötü amaçlı bir komut dosyası doğrudan savunmasız bir web uygulamasına (örneğin, bir yorum alanı aracılığıyla) enjekte edildiğinde ortaya çıkar ve uygulamaya yapılan her ziyarette hileli kodun etkinleştirilmesine neden olur.
Bir tehdit aktörü, araya giren kişiye güvenliği ihlal edilmiş ağ üzerinde kontrollerini artırma yeteneği veren bir sahte belge sağlayarak yukarıda belirtilen kusurlardan yararlanabilir.
Rapid7 araştırma direktörü Tod Beardsley, “Tipik bir saldırı modeli, yerel olarak oturum açmış bir yöneticinin kimliğinin doğrulandığı oturum çerezini çalmak ve bu oturum çerezini o kullanıcının kimliğine bürünerek yeni bir ayrıcalıklı hesap oluşturmak için yeniden kullanmak olacaktır” dedi. .
Alternatif bir senaryoda, saldırgan, rastgele komutlar enjekte etmek ve depolanan belgelere gizlice erişim elde etmek için kurbanın kimliğini kötüye kullanabilir.
Siber güvenlik firması, kusurların 1 Aralık 2022’de ilgili satıcılara bildirildiğini ve açıklamaları CERT Koordinasyon Merkezi (CERT/CC) ile koordine etmesine rağmen düzeltilmeden devam ettiğini kaydetti.
Etkilenen DMS kullanıcılarına, bilinmeyen veya güvenilmeyen kaynaklardan belgeleri içe aktarırken dikkatli davranmaları, ayrıca anonim, güvenilmeyen kullanıcıların oluşturulmasını sınırlamaları ve bilinen kullanıcılarla sohbet ve etiketleme gibi belirli özellikleri kısıtlamaları önerilir.