.jpg)
Dell Compellent depolama dizisi hizmetindeki sabit kodlanmış kimlik bilgileri, saldırganların bu iki hizmeti işbirliği içinde çalıştıran tüm kuruluşlar için kurumsal VMware ortamlarını ele geçirmesine olanak sağlayabilir.
Enlyft’e göre Dell Compellent, 2019’da ömrünün sonuna ulaştı ve veri depolama pazarında %1’den daha az bir paya sahip. Ancak yine de VMWare ortamlarıyla entegre Dell depolama kullanan kuruluşların, bu sistemleri etkileyen “yüksek” etkili bir güvenlik açığı olan CVE-2023-39250’den haberdar olmaları gerekir.
LMG Security’de sızma testi ekip yöneticisi olan Tom Pohl, Cuma günü yapılacak DEF CON 31’de, bir kurumsal ağ içindeki bir saldırganın Dell Compellent aracılığıyla VMWare’in merkezi yönetim yardımcı programıyla ilişkili özel bir anahtarı nasıl belirleyip çözebileceğini gösterecek ve böylece bir VMware ortamı.
Ancak sadece bu da değil: Anahtar her Dell müşterisi için aynı olduğu için, bir kuruluştaki uzlaşma, diğer herhangi bir kuruluştaki uzlaşmaya sorunsuz bir şekilde dönüşebilir.
Pohl’un belirttiği gibi, “Bu, yazılımdaki özel bir anahtarın kuruluşunuzun ağ güvenliğinin tamamen bozulmasına nasıl yol açabileceğinin gerçek somut bir örneğidir.”
Dell Compellent’ta Sabit Kodlanmış Özel Anahtarlar
Dell, iki hizmeti entegre ederken, VMware ortamlarını yönetmek için kullanılan platform olan VMware vCenter için yönetici kimlik bilgileri gerektirir. Ancak Dell yazılımı, bu kimlik bilgilerini yapılandırma dosyalarında saklar.
Pohl bunu bir müşterinin ağıyla çalışırken tesadüfen öğrendi. “Söz konusu cihaza girdiğimde ‘Hey, burada bir kullanıcı adı ve şifre var’ diye düşündüm” diye hatırlıyor.
En azından kimlik bilgileri açık metin olarak saklanmamıştı. Ancak Pohl, şifre çözme işleminden sorumlu olabileceğini tahmin ettiği Java sınıfını kaynak kodunda depolanan bir AES statik anahtarını kolayca keşfederek kaynak koda dönüştürdü.
CyberChef kullanarak biraz tersine mühendislik yaptıktan sonra, “birden, açık metinli bir parola çıktı. Dell Compellent yazılımından aldığım kullanıcı adını ve parolayı aldım, vCenter oturum açma sayfasına gittim ve kelimenin tam anlamıyla giriş yaptım. ve tüm çevrelerini ele geçirdi.”
Pohl’un yalnızca Dell yazılımıyla aynı vCenter yönetici erişimine sahip olması, içerilen tüm verileri gözlemleme, çalma veya değiştirme becerisine sahip olması değildi. Bir basın bülteninde vurguladığı gibi: “Bu anahtar HER müşteri için aynıdır! Bir suçlu bu güvenlik açığından yararlanırsa, onu Dell’in herhangi bir müşterisine karşı kullanabilir.”
CVE-2023-39250 Güvenlik Açığı için Henüz Yama Yok
90 günlük sorumlu açıklama penceresini geçmesine rağmen LMG Security, Dell’in yalnızca sonbaharda bir yama yayınlamasını bekliyor. Pohl, gecikmenin yeterli bir düzeltme tasarlamanın karmaşıklığından kaynaklanabileceğini öne sürüyor.
Kısmen Compellent’ın kullanım ömrünün sonu durumuyla da ilgili olabilir. Dell’in belgelerine göre, “müşterinin kullanım ömrü sona erdikten sonra yazılımı kullanma hakkı, Dell’i kullanım ömrü sona erdikten sonra da sürekli destek veya bakım sağlamak zorunda bırakmaz.”
Pohl, bu arada, hala bu sistemleri çalıştıran kuruluşların “ortamlarını kesinlikle sağlamlaştırmaları” gerektiğini söylüyor. “Standart kullanıcı, depolama platformunuz ile vCenter’ınız arasındaki önemli bir altyapı parçasıyla konuşamamalıdır. Ağ, kötü niyetli bir kullanıcının o noktaya bile gelemeyeceği şekilde bölümlere ayrılmalıdır.”