.webp?w=696&resize=696,0&ssl=1 "Denodo Zamanlayıcı Güvenlik Açığı")
Saldırganların etkilenen sistemlerde uzaktan kod yürütmesine izin veren bir veri yönetimi yazılımı bileşeni olan Denodo Scheduler’da önemli bir güvenlik açığı keşfedilmiştir.
CVE-2025-26147 olarak tanımlanan kusur, Kerberos kimlik doğrulama yapılandırma özelliğinde bir yol geçiş kırılganlığından yararlanarak kurumsal veri yönetimi altyapısının güvenliğini tehlikeye atar.
Yol geçiş güvenlik açığı
Güvenlik açığı, veri çıkarma ve entegrasyon işlemleri için zamana dayalı iş planlaması sağlayan Java tabanlı bir web uygulaması olan Denodo Scheduler sürüm 8.0.202309140 sürümünü etkiler.
.png
)
Güvenlik kusuru, özellikle KeyTab dosya yükleme mekanizmasında Kerberos kimlik doğrulama yapılandırma işlevinde bulunur.
Yöneticiler, Kerberos kimlik doğrulaması için hizmet ana kimlik bilgilerini depolayan KeyTab dosyalarını yüklemeye çalıştıklarında, uygulama çok partili form veri sonrası isteklerinde dosya adı parametresini düzgün bir şekilde doğrulayamaz.
Saldırganlar, dizin geçiş dizilerini kullanarak içerik dispozisyon http üstbilgisindeki dosya adı özniteliğini manipüle ederek bu zayıflıktan yararlanabilir.
FileName = ”../../../../ OPT/DENODO/maliary.file.txt gibi kötü amaçlı bir yük, sunucunun dosya sistemindeki keyfi konumlara yetkisiz dosya yüklemelerini etkinleştirir.
Uygulama, yüklenen dosya adlarına bir zaman damgası eklerken (örn., Maliary.file-1711156561716.txt), bu zaman damgası HTTP yanıtı yoluyla kullanıcıya döndürülür ve saldırganların tam dosya adını tahmin etme ihtiyacını ortadan kaldırır.
Yol geçiş güvenlik açığı, uygulamanın Apache Tomcat dağıtım ortamı ile birleştirildiğinde kritik olarak tehlikeli hale gelir.
Güvenlik araştırmacıları, web sunucusunun/yol/to/webroot/sources/apache-tomcat/webapps/root/root/root/kök dizininin kötü amaçlı dosya yerleşimi için ideal bir hedef sağladığını belirledi.
Saldırganlar, bu konuma bir Javaserver sayfası (JSP) web kabuğunu yükleyerek tam uzaktan kumanda yürütme özellikleri elde edebilir.
Araştırmacılar, istek parametreleri yoluyla komutları kabul eden kısa bir Java web kabuğu kullanarak saldırıyı gösterdiler:
Dağıtım yapıldıktan sonra, bu web kabuğu, saldırganların yüklenen JSP dosyasına komut parametreleriyle erişerek keyfi sistem komutlarını yürütmelerine olanak tanır ve tehlikeye atılan sunucu üzerinde etkili bir şekilde kontrol sağlar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Denodo Scheduler (v8.0.202309140) |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | Kötü niyetli KeyTab FilesApache Tomcat Dağıtım Ortamı Yüklemek İçin Kerberos Kimlik Doğrulama Yapılandırılabilirlik Yönetici Erişim |
| CVSS 3.1 puanı | 8.8 (Yüksek) |
Hafifletme
Güvenlik açığını keşfeden güvenlik firması Rhino Security Labs, sorunu 9 Nisan 2024’te Denodo’ya bildirdi.
Satıcı, güvenlik açığını kabul ederek ve 23 Nisan 2024’te ilk açıklamadan sadece 14 gün sonra bir güvenlik yaması yayınlayarak örnek yanıt süresi gösterdi.
Güvenlik açığı Denodo 8.0 güncellemesi 20240307’de ele alınmıştır ve etkilenen sürümleri kullanan kuruluşlar derhal bu güvenlik güncellemesini uygulamalıdır.
Bu olay, özellikle dosya yükleme işlevleri ve giriş doğrulaması etrafında güvenli kodlama uygulamalarının uygulanmasının kritik öneminin altını çizmektedir.
Güvenlik açığının basit bir yol geçiş kusurundan uzaktan kod yürütme yeteneğine ilerlemesi, görünüşte küçük güvenlik gözetimlerinin sistem uzlaşmasına nasıl yol açabileceğini vurgular.
Denodo zamanlayıcı kullanan kuruluşlar, benzer saldırı vektörlerine karşı kapsamlı koruma sağlamak için yama dağıtımına öncelik vermeli ve veri yönetimi altyapılarının güvenlik değerlendirmelerini yapmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!