Güvenlik araştırmacıları, Comodo Internet Security 2025’te bir dizi kritik güvenlik açıkını ortaya çıkardı ve kullanıcıları tehdit aktörlerine sistem düzeyinde ayrıcalıklar verebilecek uzaktan kod yürütme (RCE) saldırılarına maruz bıraktı.
Bu kusurlar Comodo Internet Security Premium sürüm 12.3.4.8162 ve potansiyel olarak diğer son sürümleri etkiler ve hem bireysel hem de kurumsal kullanıcıları riske atar.
| CVE kimliği | Güvenlik Açığı Türü | CVSS Puanı | Saldırı vektörü | Darbe |
| CVE-2025-7095 | Uygunsuz Sertifika Doğrulaması | 3.7 | Ağ | RCE, Mitm |
| CVE-2025-7098 | Dosya işleyicisinde yol geçişi | 5.6 | Ağ | Keyfi yazma |
| CVE-2024-7251 | Yerel ayrıcalık yükseltme | 7.8 | Yerel | Sistem Exec |
Teknik Genel Bakış
1. Yanlış Sertifika Doğrulaması (CWE-295)
Comodo’nun güncelleme mekanizması, resmi sunuculardan güncellemeleri almak için HTTPS’ye dayanır. Bununla birlikte, SSL sertifikalarını düzgün bir şekilde doğrulayarak, saldırganların DNS sahtekarlığı veya ortadaki insan (MITM) saldırıları gerçekleştirmesine izin verir.
Güncelleme trafiğini kötü amaçlı bir sunucuya yönlendirerek, rakipler algılamadan kurcalanmış güncelleme tezahürleri ve ikili dosyaları sunabilir.
Örnek Saldırı Akışı:
- Saldırgan, kendi imzalı bir sertifikaya sahip bir haydut HTTPS sunucusu kurar.
- ARP/DNS Sahteciliği aracılığıyla, kurbanın güncelleme talepleri saldırgana yönlendirilir.
- Comodo Internet Security, bağlantıyı kabul eder ve güncelleme dosyalarını güvenilmeyen kaynaktan indirir.
2. Yol geçiş güvenlik açığı (CWE-22)
Dosya adı işleyici bileşenindeki kritik bir kusur, manipüle edilmiş dosya ve klasör bağımsız değişkenleri aracılığıyla yolun geçişine izin verir.
Kötü amaçlı güncelleme tezahürleri, amaçlanan dizin dışındaki dosya yollarını belirleyebilir ve Windows başlangıç klasörü de dahil olmak üzere, sistemin herhangi bir yerinde yazar.
Konsept Kanıtı Tezahür Snippet:
Bu kod, başlangıç klasörüne bir toplu dosya yazarak sistem ayrıcalıklarıyla bir sonraki yeniden başlatmada yürütülmesini sağlar.
3. Veri özgünlüğünün yetersiz doğrulanması (CWE-345)
Comodo, güncelleme dosyalarında bütünlüğü veya özgünlük kontrollerini zorlamıyor.
Saldırganlar, güncelleme işlemi aracılığıyla bir PowerShell yükü başlatma gibi keyfi kod yürüten kötü niyetli belirginler oluşturabilir.
Bu yükler sistem altında çalışır, kullanıcı hesabı kontrollerini atlar ve Comodo’nun kendi güvenilir süreçlerini kullanır.
- Uzak Kod Yürütme: Saldırganlar rasgele kodu sistem olarak sunabilir ve yürütebilir.
- Kalıcılık: Başlangıçta yerleştirilen kötü amaçlı dosyalar, yeniden başlatmalarda kalıcılığı garanti eder.
- Ayrıcalık yükseltme: Saldırganlar tam kontrol kazanır, Mimikatz ve Hashdump gibi sömürü sonrası araçlar çalıştırabilir.
- Hemen Güncelleme: Kullanıcılar Comodo tarafından yayınlanan yamaları uygulamalıdır.
- Ağ Korumaları: Şüpheli güncelleme trafiğini için SPR Anti-SPAP Sahiplemesini Etkinleştirin ve Monitör.
- Güncelleme kaynaklarını kısıtlayın: Güvenlik duvarlarını yalnızca resmi Comodo sunucularına bağlantılara izin verecek şekilde yapılandırın.
Bu güvenlik açıkları, güvenlik yazılımındaki sağlam sertifika doğrulamasının, katı yol sanitasyonunun ve tezahür eden bütünlük kontrollerinin kritik önemini vurgulamaktadır.
Yamalar onaylanana kadar, kullanıcılar maruziyeti azaltmak için hemen adımlar atmalıdır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt