Fortra, FileCatalyst Workflow’da saldırganların dahili bir veritabanına yetkisiz erişim sağlayarak verileri çalmasına ve yönetici ayrıcalıkları elde etmesine olanak tanıyabilecek kritik bir sabit kodlu parola açığı konusunda uyarıyor.
Sabit kodlanmış parola, herkes tarafından, açığa çıkarılmış bir FileCatalyst Workflow HyperSQL (HSQLDB) veritabanına uzaktan erişmek ve potansiyel olarak hassas bilgilere yetkisiz erişim sağlamak için kullanılabilir.
Ayrıca, veritabanı kimlik bilgileri kötüye kullanılarak yeni yönetici kullanıcıları oluşturulabilir; böylece saldırganlar FileCatalyst Workflow uygulamasına yönetici düzeyinde erişim elde edebilir ve sistemin tam kontrolünü ele geçirebilir.
Dün yayınlanan bir güvenlik bülteninde Fortra, sorunun CVE-2024-6633 (CVSS v3.1: 9.8, “kritik”) olarak izlendiğini ve FileCatalyst Workflow 5.1.6 Build 139 ve daha eski sürümleri etkilediğini söylüyor. Kullanıcıların 5.1.7 veya sonraki sürümlere yükseltmeleri önerilir.
Fortra, duyuruda HSQLDB’nin yalnızca kurulum sürecini kolaylaştırmak için dahil edildiğini belirterek, kullanıcıların kurulumdan sonra alternatif çözümler kurmasını önerdi.
Bültende, “HSQLDB yalnızca kurulumu kolaylaştırmak için eklenmiştir, kullanım dışı bırakılmıştır ve satıcı kılavuzlarına göre üretim amaçlı kullanıma yönelik değildir” ifadeleri yer alıyor.
“Ancak, FileCatalyst Workflow’u önerilere göre alternatif bir veritabanı kullanacak şekilde yapılandırmamış olan kullanıcılar, HSQLDB’ye ulaşabilen herhangi bir kaynaktan gelen saldırılara karşı savunmasızdır.”
Herhangi bir hafifletici önlem veya geçici çözüm bulunmadığından sistem yöneticilerinin mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları önerilir.
Kusur keşfi ve detaylar
Tenable, 1 Temmuz 2024’te tüm FileCatalyst Workflow dağıtımlarında aynı statik parola olan “GOSENSGO613″ü bulduğunda CVE-2024-6633’ü keşfetti.
Tenable, ürünün varsayılan ayarlarında dahili Workflow HSQLDB’nin TCP 4406 portu üzerinden uzaktan erişilebilir olduğunu, dolayısıyla bu açığın önemli olduğunu açıklıyor.
Tenable, son kullanıcıların bu parolayı geleneksel yöntemlerle değiştiremeyeceğini, dolayısıyla 5.1.7 veya sonraki bir sürüme yükseltmenin tek çözüm olduğunu belirtiyor.
Yüksek erişim düzeyi, istismar kolaylığı ve CVE-2024-6633’ü istismar eden siber suçlular için potansiyel kazançlar, bu açığı FileCatalyst Workflow kullanıcıları için son derece tehlikeli hale getiriyor.
Fortra ürünleri, içerdikleri kritik kusurların aynı anda birden fazla yüksek değerli kurumsal ağın büyük ölçekte ihlal edilmesine yol açabilmesi nedeniyle saldırganların sürekli hedefi haline geliyor.