Denodo Zamanlayıcı Güvenlik Açığı Saldırganların Uzak Kodu Yürütmesine İzin Ver


Denodo Zamanlayıcı Güvenlik Açığı

Saldırganların etkilenen sistemlerde uzaktan kod yürütmesine izin veren bir veri yönetimi yazılımı bileşeni olan Denodo Scheduler’da önemli bir güvenlik açığı keşfedilmiştir.

CVE-2025-26147 olarak tanımlanan kusur, Kerberos kimlik doğrulama yapılandırma özelliğinde bir yol geçiş kırılganlığından yararlanarak kurumsal veri yönetimi altyapısının güvenliğini tehlikeye atar.

Yol geçiş güvenlik açığı

Güvenlik açığı, veri çıkarma ve entegrasyon işlemleri için zamana dayalı iş planlaması sağlayan Java tabanlı bir web uygulaması olan Denodo Scheduler sürüm 8.0.202309140 sürümünü etkiler.

Google Haberleri

Güvenlik kusuru, özellikle KeyTab dosya yükleme mekanizmasında Kerberos kimlik doğrulama yapılandırma işlevinde bulunur.

Yöneticiler, Kerberos kimlik doğrulaması için hizmet ana kimlik bilgilerini depolayan KeyTab dosyalarını yüklemeye çalıştıklarında, uygulama çok partili form veri sonrası isteklerinde dosya adı parametresini düzgün bir şekilde doğrulayamaz.

Saldırganlar, dizin geçiş dizilerini kullanarak içerik dispozisyon http üstbilgisindeki dosya adı özniteliğini manipüle ederek bu zayıflıktan yararlanabilir.

FileName = ”../../../../ OPT/DENODO/maliary.file.txt gibi kötü amaçlı bir yük, sunucunun dosya sistemindeki keyfi konumlara yetkisiz dosya yüklemelerini etkinleştirir.

Uygulama, yüklenen dosya adlarına bir zaman damgası eklerken (örn., Maliary.file-1711156561716.txt), bu zaman damgası HTTP yanıtı yoluyla kullanıcıya döndürülür ve saldırganların tam dosya adını tahmin etme ihtiyacını ortadan kaldırır.

Yol geçiş güvenlik açığı, uygulamanın Apache Tomcat dağıtım ortamı ile birleştirildiğinde kritik olarak tehlikeli hale gelir.

Güvenlik araştırmacıları, web sunucusunun/yol/to/webroot/sources/apache-tomcat/webapps/root/root/root/kök dizininin kötü amaçlı dosya yerleşimi için ideal bir hedef sağladığını belirledi.

Saldırganlar, bu konuma bir Javaserver sayfası (JSP) web kabuğunu yükleyerek tam uzaktan kumanda yürütme özellikleri elde edebilir.

Araştırmacılar, istek parametreleri yoluyla komutları kabul eden kısa bir Java web kabuğu kullanarak saldırıyı gösterdiler:

Dağıtım yapıldıktan sonra, bu web kabuğu, saldırganların yüklenen JSP dosyasına komut parametreleriyle erişerek keyfi sistem komutlarını yürütmelerine olanak tanır ve tehlikeye atılan sunucu üzerinde etkili bir şekilde kontrol sağlar.

Risk faktörleriDetaylar
Etkilenen ürünlerDenodo Scheduler (v8.0.202309140)
DarbeUzak Kod Yürütme (RCE)
Önkoşuldan istismarKötü niyetli KeyTab FilesApache Tomcat Dağıtım Ortamı Yüklemek İçin Kerberos Kimlik Doğrulama Yapılandırılabilirlik Yönetici Erişim
CVSS 3.1 puanı8.8 (Yüksek)

Hafifletme

Güvenlik açığını keşfeden güvenlik firması Rhino Security Labs, sorunu 9 Nisan 2024’te Denodo’ya bildirdi.

Satıcı, güvenlik açığını kabul ederek ve 23 Nisan 2024’te ilk açıklamadan sadece 14 gün sonra bir güvenlik yaması yayınlayarak örnek yanıt süresi gösterdi.

Güvenlik açığı Denodo 8.0 güncellemesi 20240307’de ele alınmıştır ve etkilenen sürümleri kullanan kuruluşlar derhal bu güvenlik güncellemesini uygulamalıdır.

Bu olay, özellikle dosya yükleme işlevleri ve giriş doğrulaması etrafında güvenli kodlama uygulamalarının uygulanmasının kritik öneminin altını çizmektedir.

Güvenlik açığının basit bir yol geçiş kusurundan uzaktan kod yürütme yeteneğine ilerlemesi, görünüşte küçük güvenlik gözetimlerinin sistem uzlaşmasına nasıl yol açabileceğini vurgular.

Denodo zamanlayıcı kullanan kuruluşlar, benzer saldırı vektörlerine karşı kapsamlı koruma sağlamak için yama dağıtımına öncelik vermeli ve veri yönetimi altyapılarının güvenlik değerlendirmelerini yapmalıdır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link