Oxeye, API şifreleme anahtarlarına, parolalarına ve sertifikalarına erişimi kontrol eden kimlik tabanlı sırlar ve şifreleme yönetim sistemi olan HashiCorp Vault Project’te yeni bir güvenlik açığı (CVE-2023-0620) keşfetti.
Güvenlik açığı, potansiyel olarak Uzaktan Kod Yürütmeye (RCE) yol açabilecek bir SQL enjeksiyon güvenlik açığıydı. Oxeye bu güvenlik açığını HashiCorp’a bildirdi ve ekip hızla 1.13.1, 1.12.5 ve 1.11.9 sürümlerinde yama yaptı. Apps Kasası.
HashiCorp Kasası
HashiCorp Vault, genellikle çok sayıda sır gerektiren modern, mikro hizmet tabanlı uygulamalar için şifreleme hizmetleri sağlar. Vault ile bu sırlar, HashiCorp’un kullanıcı arabirimi, CLI veya HTTP API’si kullanılarak kimlik doğrulama ve yetkilendirme yöntemleriyle korunur.
Sırlara ve diğer hassas verilere erişim güvenli bir şekilde saklanabilir ve yönetilebilir, sıkı bir şekilde kontrol edilebilir (kısıtlanabilir) ve denetlenebilir.
CVE-2023-0620
Oxeye araştırmacıları, bu yeni güvenlik açığını standart bir dağıtım taramasının parçası olarak tanımladı. Saldırganların bunu hassas verilere erişmek, değiştirmek veya silmek ve hedef sistemde kötü amaçlı kod çalıştırmak için kullanabileceğini keşfettiler.
Modern yazılım geliştirmede mikro hizmetlere yönelik eğilim göz önüne alındığında, bunun gibi yapılandırma tabanlı saldırılar önemli bir tehdittir ve daha yaygın hale gelmesi beklenmektedir.
Konfigürasyonların merkezi doğası onları tek bir hakikat noktası haline getirdiğinden, tehdit aktörleri için kazançlı bir hedeftir. Bu nedenle kuruluşlar, modern uygulamalardaki yapılandırma dosyalarının ve diğer merkezi bileşenlerin güvenliğine öncelik vermelidir.
Güvenlik açığı, Vault’un arka uç veritabanıyla etkileşim kurarken SQL sorgularını işleme biçiminde bulunmaktadır. Saldırganlar, Vault’un başlangıçta yüklediği yapılandırma parametrelerine kötü amaçlı SQL ifadeleri ekleyerek bu güvenlik açığından yararlanabilir. Saldırgan, başarılı olursa hedef veritabanında rasgele SQL sorguları çalıştırabilir. Bazı durumlarda, veritabanı yapılandırmasına bağlı olarak, tehdit aktörü, veritabanını barındıran makinede keyfi sistem komutlarını yürütmek için güvenlik açığını artırabilir.
Güvenlik açığını düzeltme
HashiCorp’un Kasasını altyapılarında kullanan kuruluşlar, gelecekte benzer güvenlik açıklarından yararlanılmasını önlemek için kurulumlarına yama uygulama ve güvenlik politikalarını gözden geçirmeye öncelik vermelidir.
Güvenlik açığı, 1.13.0’a kadar olan sürümleri etkiler ve 1.13.1, 1.12.5, 1.11.9 sürümlerinde giderilmiştir.
Oxeye CTO’su Ron Vider, “Kritik araçlara erişimi kısıtlamanın ve SQL enjeksiyon saldırılarını önlemek için yeterli girdi doğrulaması uygulamanın önemi, HashiCorp’un Vault projesindeki bu güvenlik açığıyla vurgulanıyor” dedi. “Ortamınızı korumak için yamaları hızlı bir şekilde uygulamak ve güvenlik politikalarının güncel olmasını sağlamak, başarılı saldırıların önlenmesini sağlayacaktır.”