Güvenlik profesyonelleri tarafından kullanılan açık kaynaklı bir öykünme platformu olan Miter Caldera’da kritik bir uzaktan kod yürütme (RCE) kusuru olan CVE-2025-27364. Bu kusur, saldırganların kaldera çalıştıran sunucuda keyfi kod yürütmesine izin vererek hassas sistemlerin uzlaşmasına yol açabilir.
MITER CALDERA, kontrollü bir ortamda siber saldırıları simüle etmek için tasarlanmış güçlü bir açık kaynak platformudur. Temel işlevselliği, keşif, sömürü ve sömürü sonrası faaliyetler gibi operasyonları yürütmek için ajanları veya implantları dağıtarak gelişmiş kalıcı tehditlerin (APT’ler) taklit edilmesi etrafında döner.
Sandcat ve Manx dahil bu ajanlar, komutları uzaktan uygulayarak rakip taktikleri simüle etmek için kullanılır. Caldera platformu, bu aracıları hedef sistemlere derleme ve dağıtma isteklerini işleyen bir komut ve kontrol (C2) sunucu API’sı sağlar.
CVE-2025-27364 nedir?
CVE-2025-27364, Platformun 4.2.0 ve daha önceki sürümlerinde (35BC06E’ye kadar) mevcut olan Mither Caldera’nın dinamik ajan derleme işlevselliğindeki güvenlik açığıdır. Bu kusur özellikle Caldera’nın Sandcat veya Manx ajanlarını derleme ve indirme sürecini etkiler.
Uygun giriş dezenfekte edilmesinin yokluğunda, saldırganlar Caldera Server API’sına yönelik özel hazırlanmış Web istekleri aracılığıyla sunucuda keyfi kod yürütmek için bu işlemi manipüle edebilir. Bu tür saldırı, uzaktan kod yürütme (RCE) güvenlik açığı olarak sınıflandırılır.
CVE-2025-27364’ün teknik dökümü
Güvenlik açığı, Caldera sunucusunun Sandcat ve Manx ajanları için dinamik derleme kullanımından kaynaklanmaktadır. Bu ajanlar, simüle edilmiş bir siber saldırı işlemi sırasında atanan görevleri yerine getiren Caldera sunucusu ile iletişim kurmak için tasarlanmış küçük ters kabuklardır. Caldera platformunun kritik bir parçası olan derleme uç noktası, uygun kimlik doğrulama mekanizmalarından yoksun olduğu için özellikle duyarlıdır. Bu kimlik doğrulama yokluğu, yetkisiz aktörlerin geçerli kimlik bilgilerine ihtiyaç duymadan sistemi kullanmalarını sağlar.
Sorunun çekirdeği, Caldera sunucusunun belirli bağlayıcı bayrakları ele almasında yatmaktadır. -extldflags Seçenek, Derleme Aracılarını Derleme. Bu bağlayıcı bayraklar GCC (GNU derleyici koleksiyonu) aracı, aracı derleme işlemi sırasında bunları işleyen aracı. Bu bayrakları manipüle ederek, saldırganlar derleme sürecine kötü niyetli komutlar enjekte edebilir ve bu da potansiyel olarak sunucuda keyfi kodun yürütülmesine yol açar.
Güvenlik Açığı Nasıl Çalışır?
Bu güvenlik açığının nasıl çalıştığını daha iyi anlamak için, Caldera’nın kod tabanındaki yürütme akışını izlemek önemlidir. Dawid Kulikowski’nin Miter Caldera Medium Post’a göre, bir saldırgan Caldera Server API’sına hazırlanmış bir istek gönderdiğinde, sunucu istenen aracı derlemek için bu isteği işler. Bu işlemdeki adımlardan biri, kullanıcı tarafından kontrol edilen verilerin (aracı parametreleri) acenteyi anında derlemekten sorumlu bir işleve aktarmayı içerir.
Özellikle, güvenlik açığı, GCC derleme sırasında araç. Kullanarak -extldflags Bir saldırgan olan bağlayıcı bayrağı, hangi harici bağlayıcının kullanılacağını ve çağrıya eklenen bayraklar gibi belirli yürütme yönlerini kontrol edebilir. Bu eylemler, saldırganın kontrolü altında Python veya Bash komut dosyaları gibi keyfi ikili dosyaları yürütmek için kullanılabilir.
Alt işlem çağrılarının Caldera’da yapılandırılma şekli nedeniyle basit bir komut enjeksiyonu hemen mümkün olmasa da, saldırganlar bağlayıcıya iletilen parametreleri kontrol ederek savunmasızlığı kullanabilirler. Bu, bir saldırganın, sunucu yüksek ayrıcalıklarla çalışıyorsa felaket olabilecek Caldera sunucusu işleminin izinleriyle keyfi ikili dosyaları uygulamasını mümkün kılar.
Şiddet ve risk değerlendirmesi
Güvenlik açığı, MITER CALDERA ekibi tarafından kritik bir şiddet derecesi verilmiştir ve 10.0 CVSS (Ortak Güvenlik Açığı Skorlama Sistemi) skoru yüksek düzeyde risk göstermiştir. Bu güvenlik açığının şiddeti, yaygın mevcudiyeti ile şiddetlenir; Gerekli bağımlılıklarla (Go, Python ve GCC) herhangi bir varsayılan Caldera yapılandırması, sömürüye karşı savunmasızdır. GCC, kaldera çalıştıranlar da dahil olmak üzere birçok sisteme ortak bir bağımlılık olduğundan, bu, güvenlik açığının sömürülebilir olma olasılığı yüksektir.
MITER CALDERA ekibi, tüm kullanıcıları 5.1.0 veya daha sonraki sürümlere yükselterek sistemlerini düzeltmeye çağırdı, çünkü bu sürümler güvenlik açığı için düzeltmeler içeriyor. Her zaman olduğu gibi, Mither Caldera ekibi bu tür araçları güvence altına almanın önemini vurgulamıştır ve kullanıcıların kesinlikle gerekmedikçe Caldera örneklerini internete maruz bırakmamasını önerir.
Etki ve sömürü
Satınsız bırakılırsa, CVE-2025-27364’ün ciddi sonuçları olabilir. Bu güvenlik açığını başarıyla kullanan bir saldırgan, Caldera sunucusu üzerinde tam kontrol sahibi olabilir, potansiyel olarak hassas verileri tehlikeye atabilir veya sunucuyu ağa daha fazla saldırı için bir lansman rampası olarak kullanabilir. Saldırgan keyfi kod yürütebilir, backdoors yükleyebilir veya daha gelişmiş sömürü için kullanılabilecek ek ajanları dağıtabilir.
Güvenlik açığının uzak doğası, saldırganların dahili ağa doğrudan erişime ihtiyaç duymadığı anlamına gelir, bu da internete maruz kalan savunmasız örneklerden yararlanmalarını kolaylaştırır. Bu, saldırı yüzeyini arttırır ve zamanında yamayı daha da önemli hale getirir.
Çözüm
CVE-2025-27364’e yanıt olarak, Mither Caldera ekibi, güvenlik açığını yamalamak için hızlı bir şekilde hareket etti ve kullanıcı kontrollü verileri dezenfekte etmek ve bağlayıcı bayraklar aracılığıyla kötü amaçlı sömürü önlemek için değişiklikler içeriyordu. Ayrıca, sorunu bildiren ve yama işlemini destekleyen Dawid Kulikowski’nin katkısını da kabul ettiler.
Kullanıcılar, 5.1.0 veya daha sonraki sürümlere yükseltme ve gerekmedikçe Caldera örneklerini internete maruz bırakmadan kaçınmaları istenir. Bu olay, Siber Tehditlere karşı korunmak için girdi validasyonunun ve güvenlik en iyi uygulamalarının önemini vurgulayan, Miter Caldera gibi açık kaynaklı güvenlik araçlarıyla ilişkili riskleri vurgulamaktadır.