Siber güvenlik araştırmacıları Abdullah Nawaf ve Orwa Atyat, sınırlı bir yol geçiş güvenlik açığını başarıyla tam gelişmiş bir uzaktan kod yürütmeye (RCE) yükseltti.
Keşifleri, hedeflenen kuruluşun hata ödül programından 40.000 dolarlık büyük bir ödül kazandı.
Ekip, adım adım yaklaşımlarını belgeleyerek siber güvenlik topluluğuna kararlılık, yaratıcılık ve metodik hata avlama konusunda değerli dersler bıraktı. İşte muzaffer avın nasıl ortaya çıktığı.
Kritik Yol Geçiş Güvenlik Açığı Altın Madenine Dönüşüyor
Hikaye, araştırmacıların bir alt alan tanımladığı keşif ve liman taramasıyla başladı (http://admin.target.com:8443) 404 durum kodunun döndürülmesi – çoğu zaman hata ödülü avcılarının çoğu tarafından göz ardı edilir. Altında tüyler ürpertici /admin/ bir son nokta ortaya çıkardı (/admin/Download) bir dosya alma işlevine işaret ediyordu.
Uç noktanın test edilmesi, parametre olarak geçerli bir dosya yolu gerektirdiğini gösterdi. Yol geçiş saldırıları ile deneyler yaptıktan sonra araştırmacılar, uç noktanın şu şekilde bilinen şeyi sergilediğini doğruladılar: sınırlı yol geçişi güvenlik açığı.
Dosyalar dışında /admin/ dizine erişilemedi ancak yaygın olarak bilinen anahtar dosyalar /WEB-INF/web.xml geri alınabiliyordu ve hassas bilgiler açığa çıkıyordu.
Daha ileri araştırmalar sırasında araştırmacılar bir şeye rastladılar: /incident-report uç nokta.
Buna erişim, eski ve güncel yönetici kimlik bilgileri de dahil olmak üzere kritik ayrıntıları içeren gerçek zamanlı günlük dosyalarının indirilmesini tetikledi.
Geçerli kimlik bilgilerini kullanma (admin:Glglgl123), araştırmacılar yönetici kontrol paneline tam erişim elde etti.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri
Groovy Konsolun Kilidi Açıldı: RCE’nin Anahtarı
Ekibin şu özelliği keşfetmesiyle dönüm noktası geldi: export_step2.xhtml yönetici panelinin içinde.
Bu özellik, genellikle geliştiriciler tarafından kodda hata ayıklamak ve test etmek için kullanılan bir araç olan Groovy konsolunu barındırıyordu.
Ancak bu tür konsollar, uygun şekilde güvenli hale getirilmediğinde saldırganlara sistemde rastgele kod çalıştırabilecekleri bir ağ geçidi sağlayabilir.
Program sahibinden RCE’yi test etmek için onay aldıktan sonra araştırmacılar Groovy komut dosyası yüklerini tasarladılar.
Komutları başarılı bir şekilde yerine getirilirken gözle görülür bir çıktı elde edilemedi; bu alışılmadık bir zorluktu.
Bu noktada şunu hatırladılar: /incident-report uç nokta ve komut çıktılarının gerçek zamanlı olarak kaydedilebileceği teorisini ortaya attı.
En son günlük dosyalarını indirerek teorilerini doğruladılar. Gibi hassas sistem dosyaları da dahil olmak üzere komutlarının çıktıları /etc/passwdgünlüğe kaydedildi ve alınabildi, böylece RCE istismarı etkili bir şekilde tamamlandı.
Ekip, bulgularını derhal etik hacklemenin en iyi uygulamalarını gösteren hata ödül programına bildirdi. Program sahibinin talebi üzerine bulgular, ödemeleri en üst düzeye çıkarmak için ayrı raporlara bölündü ve bunun sonucunda ekip toplamda 40.000 ABD Doları tutarında bir ödül kazandı.
- Kalıcılık meyvesini verir: Araştırmacılar böcek ödülü avcılığının bir arayış gibi ele alınmasının önemini vurguladılar. Pek çok avcı bir hata bulduktan sonra duruyor ancak daha derine inen ekip, RCE’nin on binlerce dolar değerindeki bir güvenlik açığını ortaya çıkardı.
- Alt Alan Adları Üzerinde İyice Çalışın: Bir alt alan adında bir hata tespit edildiğinde, devam etmeden önce tüm testlerin tamamlanması gerekir. Bu vakada görüldüğü gibi, küçük bir bulgu (yol geçişi), yönetici şifrelerinin ortaya çıkmasına yol açtı ve bu durum sonuçta RCE’ye iletildi.
- Miktardan ziyade Kalite: İlk bulguların tek bir raporda birleştirilmesi, profesyonelliği ortaya koydu ve program sahibiyle daha güçlü bir güven ve etkileşime yol açtı.
Bu vaka, özveri ve teknik uzmanlığın hata ödülü alanında nasıl önemli ödüllere yol açabileceğinin bir başka mükemmel örneğidir.
Araştırmacılar, metodik bir yaklaşımı yaratıcı düşünceyle birleştirerek bir dizi güvenlik açığını yüksek profilli bir keşfe dönüştürdü ve siber güvenlik konusunda dikkatli olmanın önemini güçlendirdi.
Araştırmacılar, “Her zaman olduğu gibi, her ipucunu bir fırsat olarak değerlendirin ve sınırlarınızı sorumlu bir şekilde zorlayın” dedi. Bu şekilde 404 doları 40.000 dolara çevirirsiniz.”
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free