Elastic, Elastic Cloud Enterprise (ECE) platformunda, kötü niyetli yöneticilerin keyfi komutlar yürütmesine ve hassas verileri sızdırmasına olanak tanıyan kritik bir güvenlik açığını açıkladı.
ESA-2025-21 tavsiye belgesi kapsamında CVE-2025-37729 olarak takip edilen kusur, Jinjava şablon motorundaki özel öğelerin uygunsuz şekilde nötrleştirilmesinden kaynaklanıyor.
Bu sorun, ECE’nin birden çok sürümünü etkileyerek şirket içindeki kişiler veya güvenliği ihlal edilmiş yönetici hesapları tarafından kullanılması halinde kurumsal ortamların ciddi risklere maruz kalmasına neden olabilir.
Güvenlik açığı, ECE yönetici konsolunda dağıtım planlarının işlenmesi sırasında Jinjava değişkenleri içeren özel hazırlanmış dizeler değerlendirildiğinde ortaya çıkıyor.
Yönetici ayrıcalıklarına sahip saldırganlar, bu planlara kötü amaçlı veriler ekleyerek kod yürütülmesine neden olabilir. Bu tür yürütmelerin sonuçları, alınan günlükler aracılığıyla tekrar okunarak veri hırsızlığına veya sistemin daha fazla tehlikeye atılmasına olanak sağlar.
Elastic, istismarın yönetici konsoluna erişim ve Logging+Metrics özelliği etkinleştirilmiş bir dağıtım gerektirdiğini vurguluyor; bu da tehdit vektörünü ayrıcalıklı kullanıcılara daraltıyor ancak paylaşılan veya çok kiracılı kurulumlarda etkiyi artırıyor.
Elastik Bulutta Kurumsal Güvenlik Açığı
Bu kusur, 2.5.0’dan 3.8.1’e kadar (3.8.1 dahil) ECE sürümlerini ve ayrıca 4.0.0’dan 4.0.1’e kadar olan sürümleri etkilemektedir.
Bu yapıları üretimde çalıştıran kuruluşlar, özellikle de günlük kaydı ve ölçüm iş yüklerinde ölçeklenebilir bulut yönetimi için ECE’den yararlananlar daha fazla riskle karşı karşıyadır.
CVSS v3.1’in 9,1 puanı, AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H vektörüyle kritikliğinin altını çiziyor; bu, ağ erişilebilirliğine, düşük karmaşıklığa, yüksek ayrıcalıklara ihtiyaç duyulduğunu, ancak kapsam değişikliğinin yüksek gizlilik, bütünlük ve kullanılabilirlik etkilerini mümkün kıldığını gösteriyor.
Herhangi bir kavram kanıtı istismarı kamuya açıklanmasa da, danışma belgesinde saldırganların tercüman komutlarını taklit eden yükleri nasıl oluşturabileceği ayrıntılarıyla anlatılıyor.
Örneğin, Jinjava ifadelerini değerlendiren dizelerin enjekte edilmesi, diğer platformlarda görülen şablon enjeksiyon saldırılarına benzer şekilde uzaktan kod yürütülmesini tetikleyebilir.
Elastic, sorunun bağımsız Elastic Stack bileşenlerini etkilemediğini ancak ECE’nin kurumsal dağıtım düzenlemesine özel olduğunu belirtiyor.
Azaltmalar
Elastic, şablon motorundaki nötrleştirme kusurunu gideren yamalı 3.8.2 veya 4.0.2 sürümlerine derhal yükseltme yapılması çağrısında bulunuyor.
Derhal yama yapamayanlar için doğrudan bir geçici çözüm mevcut değildir; ancak kuruluşlar, katı rol tabanlı kontroller ve izleme yoluyla yönetici konsolu erişimini sınırlayabilir.
Elastic, potansiyel istismarı tespit etmek için istek günlüklerinin şu sorguyla taranmasını önerir: (payload.name : int3rpr3t3r veya payload.name : forPath). Bu, enjekte edilen yüklerin göstergesi olan şüpheli etkinliği işaretleyebilir.
| Uzlaşma Göstergesi | Tanım | Tespit Yöntemi |
|---|---|---|
| yük.adı: int3rpr3t3r | Tercüman komutlarını taklit eden kötü amaçlı veri | ECE konsolunda günlük araması |
| yük.adı : forPath | Şablonlarda enjeksiyon hedefleme yolu değerlendirmesi | ECE konsolunda günlük araması |
İşletmeler hibrit bulut gözlemlenebilirliği için giderek daha fazla ECE’ye güvenirken, bu güvenlik açığı dikkatli ayrıcalık yönetimi ihtiyacını vurguluyor.
Elastic’in hızlı bir şekilde ifşa edilmesi proaktif savunmaya olanak tanır, ancak gecikmiş yama uygulaması, ihlal edilen ağlarda içeriden gelen tehditlere veya yanal harekete davetiye çıkarabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
