Araştırmacılar, fetişizmle ilgilenen insanlara hizmet veren kötü şöhretli bir sosyal ağ sitesi olan Fetlife’ta yakın zamanda tespit edilen bir güvenlik açığının vahşi doğada istismar edildiğini buldu.
CVE-2023-25309 olarak tanımlanan Fetlife güvenlik açığı, platformu potansiyel bir açıktan yararlanmaya maruz bırakarak tehdit aktörlerinin hassas kullanıcı bilgilerine yetkisiz erişim elde etmesine olanak sağladı.
Siteler Arası Komut Dosyası Çalıştırma (XSS) kusuru olarak kategorize edilen Fetlife güvenlik açığı, özellikle platformun kullanıma sunulan kullanıcı arayüzü sürüm 0.5’i etkiler.
Saldırganlar, “bir özelliği silme” işlevini manipüle etmek için tasarlanmış hazırlanmış bir URL’den yararlanarak, platform içinde rasgele kod çalıştırabilir.
Bu kötü amaçlı etkinlik, tehdit aktörlerinin kullanıcı hesaplarını tehlikeye atmasına, kişisel bilgileri tehlikeye atmasına ve hatta şüphelenmeyen kullanıcılar adına yetkisiz eylemler gerçekleştirmesine olanak sağlayabilir.
Cyber Express, Fetlife güvenlik açığını doğrulamak için işletmeye ulaştı. Ancak bu yazıyı yazarken şirketten resmi bir yanıt alamadık.
Fetlife güvenlik açığı açıklandı
Fetlife güvenlik açığının ciddiyeti yüksek olarak derecelendirilmiştir. Fetlife güvenlik açığı kötüye kullanıldığında, kimlik hırsızlığından bireyler ve Fetlife platformunun kendisi için itibar zedelenmesine kadar uzanan ciddi zararlara yol açabilir.
bauland42’den Heiko Webers, Fetlife güvenlik açığını keşfetti ve araştırması, bu güvenlik açığının bazı korkunç sonuçlarını buldu.
Güvenlik açığından etkilenen sürüm Rollout::UI v0.5, Fetlife altyapısının ayrılmaz bir parçasıdır ve kullanıma sunma cevheri için minimalist bir kullanıcı arabirimi görevi görür. Platformdaki kullanıcı deneyimini geliştiren bir Rack uygulaması olarak monte edilmek üzere tasarlanmıştır.
Bununla birlikte, kusur, “Gerçekten silmek istiyor musunuz?” onay iletişim kutusunda özelliğin adının uygun olmayan şekilde yazılmasından kaynaklanmaktadır.
Bu gözetim, kullanıcı “Sil” düğmesini tıkladığında XSS saldırısının yürütülmesine izin vererek yetkisiz kod yürütülmesini sağlar.
Fetlife Zafiyetinin Teknik Analizi
Güvenlik uzmanları, Fetlife güvenlik açığının ciddiyetini göstermek için bir kavram kanıtı sağladı.
Şüphelenmeyen bir kullanıcı, yalnızca kötü amaçlarla oluşturulmuş bir URL’ye tıklayarak bir JavaScript uyarısını tetikleyebilir ve hassas kullanıcı verilerine yetkisiz erişim olasılığını gösterir.
Bu kritik soruna yanıt olarak, güvenlik topluluğu acil bir çözüm önerdi. Fetlife, Fetlife güvenlik açığını azaltmak için gerekli düzeltmeleri içeren Rollout::UI’yi en son sürüme güncellemelidir.
Özellikle önerilen çözüm, https://github.com/fetlife/rollout-ui/pull/15 adresinde bulunan şubenin kullanılmasını içerir. Fetlife, güvenlik açığını gidermek ve kullanıcılarını potansiyel istismardan korumak için bu güncellemeye derhal öncelik vermelidir.
Şu an itibariyle, satıcı önerilen düzeltmeyi resmi olarak kabul etmemiş, bu da kullanıcı tabanı ve daha geniş topluluk arasında endişelere yol açmıştır.
Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı nedir?
Siteler Arası Komut Dosyası Çalıştırma (XSS), saldırganların diğer kullanıcılar tarafından görüntülenen web sayfalarına kötü amaçlı komut dosyaları eklemesine olanak tanıyan bir web uygulaması güvenlik açığıdır.
Bir web uygulaması, kullanıcı girdisini kullanıcının tarayıcısına gönderilen çıktıya eklemeden önce düzgün şekilde doğrulamadığında veya temizlemediğinde ortaya çıkar. Üç ana XSS güvenlik açığı türü vardır:
Kayıtlı XSS (Kalıcı XSS)
Kötü amaçlı komut dosyası, hedef sunucuda kalıcı olarak depolanır ve belirli bir web sayfasını talep ettiklerinde kullanıcılara sunulur.
Örneğin, bir saldırgan bir forum gönderisine bir komut dosyası yerleştirebilir ve diğer kullanıcılar bu gönderiyi görüntülediğinde, komut dosyası onların tarayıcılarında yürütülür.
Yansıyan XSS
Bu durumda, enjekte edilen komut dosyası bir URL’ye veya bir form girişine gömülür ve bu daha sonra sunucudan gelen yanıtta kullanıcıya geri yansıtılır.
Örneğin, bir saldırgan kötü amaçlı bir bağlantı oluşturabilir ve bunu potansiyel kurbanlara gönderebilir. Komut dosyası, kurban bağlantıya tıkladığında tarayıcılarında yürütülür.
DOM tabanlı XSS
Bu tür XSS, güvenlik açığı sunucunun yanıtı yerine bir web sayfasının Belge Nesne Modeli’nde (DOM) olduğunda ortaya çıkar.
Saldırı, web sayfasının yapısını veya davranışını değiştirmekten sorumlu istemci tarafı JavaScript kodunu manipüle etmeyi içerir.
Sonuç olarak, CVE-2023-25309 ile işaretlenen Fetlife güvenlik açığının yakın zamanda keşfedilmesi, artırılmış güvenlik önlemlerine yönelik acil ihtiyacın altını çiziyor.
Platform, Rollout::UI sürüm 0.5’teki Siteler Arası Komut Dosyası kusurunu derhal ele almalıdır. Fetlife bunu yaparak kullanıcılarını koruyabilir, güvenlerini koruyabilir ve daha güvenli bir dijital ortam yaratma misyonuna katkıda bulunabilir.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.