Hulia tabanlı geliştirme için bulut tabanlı bir platform olan Exhub’da son zamanlarda kritik bir güvensiz doğrudan nesne referansı (Idor) güvenlik açığı keşfedildi.
Bu kusur, saldırganların herhangi bir projenin web barındırma yapılandırmalarını uygun yetkilendirmeden değiştirmesine ve etkilenen sistemlere önemli riskler oluşturmasına izin verdi.
Yanlış yapılandırmalar kesintilere neden olabilir veya hizmetleri kullanılamaz hale getirebilir. Ayrıca, saldırganlar, uzlaşmış konfigürasyonlar nedeniyle ek sömürü için ayrıcalıkları veya zincir saldırılarını artırabilir.
Güvenlik Açığını Anlamak
Exhub, bulut barındırma, proje işbirliği ve dağıtım özellikleri sunar. İşlevleri arasında, kullanıcıların projeleri için web barındırma ayarlarını yapılandırma yeteneği de vardır. Bu yapılandırmalar projelerin nasıl dağıtıldığını ve erişildiğini belirler.
İdeal olarak, yalnızca yetkili kullanıcılar bu ayarları değiştirebilmelidir. Ancak, erişim kontrollerinin yanlış uygulanması nedeniyle, yetkisiz kullanıcılar sadece bir projenin benzersiz tanımlayıcısını bilerek sistemi kullanabilir.
Güvenlik açığı, proje dağıtım yapılandırması için Exhub’ın API’sinde ikamet etti. Özellikle, API sağlamdı yetkilendirme Herhangi bir kullanıcının – rolleri veya kimlik doğrulama durumlarından bağımsız olarak – hazırlanmış istekleri göndermesini ve barındırma ayarlarını değiştirmesini sağlayan kontroller.
Bu sorunu belirleyen araştırmacı Abhi Sharma’ya, ayrıntılı rapor için 200 dolarlık bir bonusla birlikte 1.500 dolarlık bir ödül verildi.
Güvenlik Açığı Sömürü
Sömürü süreci minimal teknik karmaşıklık içeriyordu:
- Proje Kimliğini Alın: Saldırganın geçerli bir proje kimliğine erişmesi gerekiyordu. Bu, numaralandırma veya diğer dolaylı araçlarla elde edilebilir.
- Yetkisiz bir API isteği oluşturun: Savunmasız Uç Noktasına/API/V1/Project/Dağıtım_configürasyon/
saldırganlar kritik barındırma parametrelerini değiştirebilir.
Bir Gönderi İsteği Yapın
- İsteği yürütün: Burp Suite veya Postman gibi araçlar saldırıyı yürütmek ve gerçek zamanlı değişiklikleri gözlemlemek için yeterliydi.
- Değişiklikleri doğrulayın: Saldırgan, Exhub’ın kullanıcı arayüzü aracılığıyla değişiklikleri onaylayabilir.
Bu güvenlik açığı, yetkisiz kullanıcıların makine türlerini, bağlantı noktalarını ve DNS yapılandırmalarını değiştirme gibi idari eylemler gerçekleştirmelerine izin verdi-yüksek rivil olmayan rollerle sınırlı olması gereken eylemler.
Güvenlik açığının etkisi
Bu idor güvenlik açığının sonuçları, saldırganların dağıtım yapılandırmalarını manipüle edebilecekleri ve potansiyel olarak hassas kaynaklara yetkisiz erişim elde edebilecekleri şiddetliydi.
Yanlış yapılandırmalar kesinti veya hizmet hizmetlerine erişilemez hale getirebilir. Ayrıca, sömürülen yapılandırmalar, saldırganların daha fazla sömürü için ayrıcalıkları veya zincir saldırılarını artırmasını sağlayabilir.
Güvenlik açığı kritik olarak derecelendirildi (CVSS skoru 9.8), ancak daha sonra proje kimliklerinin elde edilmesinin zorluğuna ilişkin varsayımlar nedeniyle yüksek (8.8) ‘e düşürüldü.
Bu güvenlik açığını ele almak için:
- Exhub, tüm API uç noktalarında katı yetkilendirme kontrolleri tanıttı.
- Proje kimlikleri randomizasyon teknikleri uygulanarak daha az tahmin edilebilir hale getirildi.
- En az ayrıcalık ilkelerini uygulamak için kullanıcı rolleri yeniden yapılandırılmıştır.
Bu olay, geliştiriciler ve kuruluşlar için birkaç kritik dersin altını çizmektedir:
- Yetkilendirme kontrolleri çok önemlidir: Her API uç noktası kullanıcı izinlerini titizlikle doğrulamalıdır.
- Tahmin edilebilir tanımlayıcılardan kaçının: Kolayca tahmin edilebilir kimlikler kullanmak sömürü riskini artırır.
- En az ayrıcalık ilkesi: Yanlış yapılandırmalardan kaynaklanan potansiyel hasarı en aza indirmek için rollerine göre kullanıcı eylemlerini sınırlayın.
- Kapsamlı Testler: Güvenlik testi, Idor gibi gizli güvenlik açıklarını ortaya çıkarmak için arka uç API’lerini içermelidir.
Sıkı erişim kontrollerini uygulayarak ve güvenli tasarım ilkelerini benimseyerek, şirketler platformlarını sömürüden koruyabilir ve kullanıcılarıyla güven oluşturabilir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri