Bulut ve şirket içi ortamlarda yaygın olarak dağıtılan bir BT destek yönetimi yazılımı olan Halo ITSM’de kritik bir güvenlik kusuru keşfedilmiştir.
Saldırganların kötü niyetli SQL kodu enjekte etmesine izin veren güvenlik açığı, kimlik bilgileri ve dahili belgeler gibi hassas veriler içeren BT destek biletlerini yönetmek için yazılıma güvenen kuruluşlar için önemli bir tehdit oluşturmaktadır.
Sorun, Halo ITSM’nin kod tabanında onaylama öncesi SQL enjeksiyon kırılganlığını işaretleyen araştırmacılar tarafından yürütülen bir güvenlik denetimi ile ortaya çıkarıldı.
Bu güvenlik açığı, SQL sorgularında nesne-ilişkisel haritalama (ORM) ve güvenli olmayan dize birleştirmesinin tutarsız kullanımı da dahil olmak üzere kötü güvenlik uygulamalarından kaynaklanmaktadır.
Güvenlik Açığı Detayları
Güvenlik açığının temel nedeni, katı veri türlerini uygulayamayan zayıf yazılan nesnelerin kullanımında yatmaktadır. Özellikle, sorun API denetleyicisi nethelpdesk.api/controller/noifycontroller.cs’deki Logmein işleviyle bağlantılıdır.
Bu denetleyici, tip olmayan sözlük nesnelerini kabul eder, böylece saldırganların giriş verilerini manipüle etmesini ve kötü niyetli SQL komutları enjekte etmesini sağlar.
Savunmasız kod, uygun giriş doğrulaması veya dezenfektan olmadan HTTP Post isteklerinde gönderilen JSON nesnelerini işler.
Hazırlanmış bir istek, aşağıdaki kavram kanıtı (POC) isteğinde gösterildiği gibi, TechID parametresine kötü amaçlı SQL dahil ederek bu kusuru kullanabilir:
Örnek sömürü:
POST /api/Notify HTTP/2
Host: vulnerablehost
Content-Type: application/json
{
"sessionid": "SESSION_ID_VALUE",
"tracking0": "ticket12345",
"techid": "1;waitfor delay '0:0:10'--",
"pickuptime": "2025-03-03T10:00:00",
"lastactiontime": "2025-03-03T11:30:00"
}Bu istek gönderildiğinde, SQL sorgu yürütmesi 10 saniye ertelenerek güvenlik açığının sömürülebilirliğini teyit eder.
Bu özel API uç noktasında kimlik doğrulama uygulanmadığından, saldırı sisteme önceden erişim olmadan gerçekleştirilebilir.
Etki ve azaltma
Güvenlik açığı, kuruluşları veri ihlallerine, hizmet aksamalarına ve BT destek sistemlerine yetkisiz erişimlere maruz bırakır.
Saldırganlar, kimlik bilgisi verilerine erişmek, destek biletlerini manipüle etmek veya etkilenen ağ içindeki ayrıcalıklarını artırmak için kusurdan yararlanabilir.
Halo ITSM o zamandan beri sorunu ele alan bir yama yayınladı, ancak araştırmacılar, onaylama sonrası saldırı yüzeyleriyle ilgili kod tabanında daha derin sorunların kaldığı konusunda uyarıyor.
Sıkı yazma, giriş validasyonu ve parametreli SQL sorgularının daha geniş kullanımı bunu ve diğer potansiyel güvenlik açıklarını önleyebilir.
Halo ITSM’yi kullanan kuruluşlar derhal olmalıdır:
- Halo ITSM tarafından sağlanan en son güvenlik yamasını uygulayın.
- Sistemlerini, özellikle olağandışı API istekleri veya veritabanı sorguları için sömürü belirtileri için denetleyin.
- Güvenli kodlama uygulamalarını yazılım geliştirmeye, ORM’yi vurgulayarak, veri sanitizasyonuna ve giriş doğrulamasına dahil edin.
Halo ITSM, BT destek yönetimi için önemli bir araç olmaya devam etse de, bu güvenlik açığı potansiyel riskleri azaltmak için proaktif güvenlik denetimlerinin ve sağlam yazılım tasarımının önemini vurgulamaktadır.
Daha fazla bilgi için güvenlik ekibinize danışın veya Halo ITSM’nin resmi danışma sayfasını ziyaret edin.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!