Microsoft dört güvenlik açığı tespit etti Perforce kaynak kodu yönetim platformu, Bunlardan en kritik olanı, saldırganların yüksek ayrıcalıklı bir Windows işletim sistemi hesabına erişmesine ve uzaktan kod yürütme (RCE) yoluyla sistemi ele geçirmesine ve hatta bazı işlemleri gerçekleştirebilmesine olanak tanır. tedarik zinciri saldırıları.
Genel olarak Perforce Helix Core Server, diğer adıyla Perforce Server’da keşfedilen kusurlar, tehdit aktörlerinin potansiyel olarak uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) saldırıları da dahil olmak üzere bir dizi kötü amaçlı faaliyette bulunmasına olanak tanıyor. bir blog yazısı Tehdit istihbaratı firması SOCRadar tarafından.
Perforce Server, oyun, devlet, askeriye, teknoloji ve perakende dahil olmak üzere çeşitli sektörlerde yazılım geliştirme yaşam döngüsünü (SDLC) yönetmek için yaygın olarak kullanılır. Microsoft, kusurları yaz sonunda oyun geliştirme stüdyolarının güvenlik incelemesi sırasında keşfetti ve ardından bunları Perforce Software’e bildirdi.
Microsoft’un bulduğu kusurların en kritik olanı, şu şekilde izlenen rastgele bir kod yürütme kusurudur: CVE-2023-45849 ve CVSS’de 9,8 puan aldı. User-bgtask RPC komutunun sunucu tarafından yanlış kullanılmasından kaynaklanan güvenlik açığı, kimliği doğrulanmamış saldırganlara, sistem işlevleri için tasarlanmış yüksek ayrıcalıklı bir Windows işletim sistemi hesabı olan LocalSystem’den kod yürütme yeteneği veriyor.
Gönderiye göre “Perforce Server, varsayılan yapılandırmasında, kimliği doğrulanmamış saldırganların PowerShell komut dosyaları da dahil olmak üzere çeşitli komutları LocalSystem olarak uzaktan yürütmesine izin veriyor.” “Bu hesap düzeyi, yerel kaynaklara, sistem dosyalarına erişimi ve kayıt defteri ayarlarının değiştirilmesini kolaylaştırır.”
Saldırganlar bu kusurdan yararlanarak arka kapılar kurabilir, hassas bilgilere erişebilir, sistem ayarlarını değiştirebilir ve potansiyel olarak savunmasız bir Perforce Server sürümü çalıştıran sistemin tüm kontrolünü ele geçirebilir. Ayrıca bağlantılı bilgilere ve hatta yazılım tedarik zinciri SOCRadar, Perforce’un yazılım geliştirme yaşam döngüsünün yönetimindeki rolü göz önüne alındığında uyardı.
Yüksek Derecede Performans Hataları: DoS ve Ötesi
Diğer üç güvenlik açığı şu şekilde izleniyor: CVE-2023-35767, CVE-2023-45319Ve CVE-2023-5759 — hepsi CVSS’de 7,5 puan aldı ve hizmet reddi (DoS) saldırılarının önünü açtı; ilk ikisi, kimliği doğrulanmamış bir saldırganın uzaktan komutlar aracılığıyla DoS’yi başlatmasına olanak tanıyor ve sonuncusu, RPC başlığı aracılığıyla kötüye kullanıma izin veriyor.
Özellikle, NIST Ulusal Güvenlik Açığı Veritabanındaki listelerine göre, CVE-2023-35767 kapatma işlevi aracılığıyla, CVE-2023-45319 taahhüt işlevi aracılığıyla ve CVE-2023-5759 arabellek aracılığıyla DoS’a izin verir.
Microsoft’un Baş Güvenlik Mimarı Jason Geffner, şirketin ağustos ayı sonlarında Perforce’a bildirdiği ve satıcının soruşturmasını teşvik eden dört kusuru keşfetmesiyle tanınıyor. Kasım ayı başlarında Perforce Software, Perforce Server için bir güncelleme yayınladı. sürüm 2023.1/2513900güvenlik açıklarını etkili bir şekilde düzeltmeye yardımcı olur.
Şu anda saldırganların herhangi bir kusuru hedef aldığına dair bir kanıt olmasa da Microsoft ve SOCRadar, etkilenen tüm kuruluşların Perforce Server’ın yamalı sürümüne derhal güncelleme yapmasını ve herhangi bir kötüye kullanıma karşı tetikte kalmasını öneriyor.
Microsoft ayrıca kendi ortamlarında Perforce Server çalıştıran kuruluşları korumak için bir dizi başka güvenlik önerisi de yaptı. Şirket, kuruluşların yalnızca Performance için değil aynı zamanda yamaları düzenli olarak izlemesini ve uygulamasını tavsiye etti. üçüncü taraf yazılımı. Ayrıca Perforce Server ile iletişimi kısıtlamak için bir VPN ve/veya IP izin verilenler listesi kullanmalıdırlar.
Diğer azaltıcı eylemler şunları içerir: TLS sertifikaları Perforce kullanıcılarını doğrulamak ve bağlantılara izin vermeden önce istemci TLS sertifikalarını doğrulamak için Perforce Sunucusunun önüne bir TLS sonlandırma proxy’si dağıtmak. Kuruluşlar ayrıca hem ağ cihazları hem de sunucunun kendisi aracılığıyla Perforce örneklerine yapılan tüm erişimi günlüğe kaydetmelidir.
Microsoft’a göre, diğer hafifletme önlemleri arasında, işlem çökmeleri durumunda BT yöneticilerini ve güvenlik ekibini derhal bilgilendirecek uyarı sistemlerinin yapılandırılması ve saldırganların ağ içinde dönme potansiyelini sınırlamak için ağ bölümlendirmesinin kullanılması yer alıyor.