En yaygın kullanılan PHP tabanlı içerik yönetim sistemlerinden biri olan Craft CMS’de, varsayılan yapılandırmalarda kimlik doğrulamasız uzaktan kod yürütülmesine (RCE) izin veren önemli bir güvenlik açığı ortaya çıkarıldı.
CVE-2024-56145 olarak tanımlanan güvenlik açığı, güvenlik araştırmacıları tarafından ortaya çıktı ve Craft CMS ekibi tarafından 24 saat içinde yayınlanan bir yama ile giderildi.
Yıllar içinde önemli gelişmelere uğrayan bir dil olan PHP, güvenlik sorunlarına yabancı değil. Daha eski güvenlik açıkları gibi register_globals Ve magic_quotes_gpc ortadan kaldırılmış olsa da tasarımındaki bazı tuhaflıklar hala kritik sorunlara yol açabilir.
Craft CMS’de yakın zamanda ortaya çıkan kusur, görünüşte zararsız PHP davranışlarının ne kadar sömürülebilir koşullar yaratabileceğini vurguluyor.
Bu güvenlik açığının merkezinde register_argc_argv PHP’de yapılandırma ayarı.
Bu ayar, komut satırı bağımsız değişkenlerinin ($_SERVER['argc'] Ve $_SERVER['argv']) bir komut dosyası çalıştırıldığında doldurulur.
Varsayılan olarak, register_argc_argv PHP’de etkindir; bu, sorgu dizeleri web’de barındırılan PHP komut dosyalarına aktarıldığında beklenmeyen davranışlara yol açabilir. Craft CMS’nin resmi Docker görüntüsünde bu ayar açıktır ve istismar edilebilir bir senaryo yaratmaktadır.
Güvenlik Açığı Nasıl Çalışır?
Kusur, Craft CMS’nin önyükleme sırası sırasında belirli komut satırı seçeneklerini nasıl işlediğinde yatmaktadır. Özellikle geliştiriciler, sorgu dizelerinin, yapılandırma dosyaları veya şablonlar gibi kritik dosyaların yollarını değiştirmek için kullanılabileceğini keşfetti.
Saldırganlar bu davranıştan yararlanarak dosya yolları üzerinde kontrol sahibi olabilir ve potansiyel olarak rastgele kod çalıştırabilir.
Araştırmacılar bunu bir kullanarak gösterdiler ftp:// Kötü amaçlı şablonları bir FTP sunucusunda barındırmak için sarmalayıcı kullanırsanız, güvenlik kontrollerini atlayabilir ve yürütülebilir kodu savunmasız bir Craft CMS örneğine enjekte edebilirler.
Adam Kues tarafından yapılan ileri analiz, Craft CMS’nin kötü amaçlı kod yürütülmesini önlemek için şablon motorunu (Twig) korumalı alana almaya çalışırken, akıllı geçici çözümlerin (örneğin, sort ile filtrele call_user_func—saldırganların bu savunmaları aşmasına ve RCE elde etmesine olanak sağladı.
Etki ve Etki Azaltma
Craft CMS, büyük işletmeler de dahil olmak üzere dünya çapında 150.000’den fazla web sitesi tarafından kullanılmaktadır. Güvenlik açığı, platformun varsayılan yapılandırmalarını kullanan kuruluşlar için önemli bir risk oluşturuyordu.
Ancak Craft CMS ekibi, sorunu çözmek için hızla harekete geçerek 5.5.2+ ve 4.13.2+ yamalı sürümlerini yayınladı. Kullanıcıların kurulumlarını derhal yükseltmeleri şiddetle tavsiye edilir.
Güncelleme yapamayanlar için devre dışı bırakmak register_argc_argv onların ayarı php.ini file, bu özel güvenlik açığını azaltmak için etkili bir geçici çözüm sağlar.
Bu olay, güvenli uygulamalar geliştirirken PHP’nin incelikli davranışlarını anlamanın öneminin altını çiziyor.
Geliştiricilerin, kodun bir komut satırı arayüzü (CLI) ortamında çalışıp çalışmadığını doğrulamak gibi sağlam yöntemler kullanarak açıkça kontrol etmeleri önerilir. PHP_SAPI gibi potansiyel olarak belirsiz göstergelere güvenmek yerine değişken $_SERVER['argv'].
Hem araştırmacıların hem de Craft CMS ekibinin hızlı tepkisi, güvenlik açıklarının etkisini en aza indirmede sorumlu açıklamanın ve proaktif yamalamanın değerini vurgulamaktadır.
PHP bir dil olarak önemli ölçüde olgunlaşmış olsa da, eski davranışları geliştiriciler ve güvenlik profesyonelleri için zorluklar yaratmaya devam ediyor.
CVE-2024-56145 güvenlik açığı, küçük yanlış yapılandırmaların veya gözden kaçan özelliklerin, saldırganlar tarafından kullanılması durumunda ne kadar ciddi sonuçlara yol açabileceğini hatırlatıyor.
Araştırmacılar ayrıca bir yayınladı CVE-2024-56145 yararlanma aracı saldırganların özel hazırlanmış veriler aracılığıyla Uzaktan Kod Yürütme (RCE) gerçekleştirmesine olanak tanır.
Kuruluşların, yazılımlarını güncel tutarak ve sistemlerini ortaya çıkan tehditlerden korumak için güvenli kodlama uygulamalarını benimseyerek dikkatli olmaları gerekir.
Daha İlginç Günlük Siber Güvenlik Hikayeleri için Bizi Takip Edin LinkedIn, X Ve Google Haberler