HPE Insight Küme Yönetimi Yardımcı Programında (CMU) V8.2’de kritik bir kimlik dışı uzaktan kod yürütme güvenlik açığı (CVE-2024-13804) keşfedilmiştir, bu da saldırganların kimlik doğrulama mekanizmalarını atlamasını ve arka uç sunucusunda kök ayrıcalıkları olan komutları yürütmesini sağlar.
Bu yüksek şiddetli güvenlik açığı, yüksek performanslı bilgi işlem kümelerini yönetmek için tasarlanmış bir aracı etkiler ve potansiyel olarak saldırganlara tüm bilgi işlem ortamları üzerinde tam kontrol sağlar.
Güvenlik açığı, CMU uygulamasının uygun sunucu tarafı doğrulaması olmadan istemci tarafı yetkilendirme kontrollerini nasıl uygularken temel tasarım kusurlarından kaynaklanmaktadır.
.webp)
Saldırganlar, Java istemci uygulamasını sunucuya karşı silahlandırarak, güvenlik kısıtlamalarını atlamak ve idari erişim elde etmek için istemci tarafı kodunu değiştirebilir.
İstismar, herhangi bir kimlik doğrulama kimlik bilgileri gerektirmez, bu da açıkta kalan sistemler için özellikle tehlikeli hale getirir.
Gölgelerde Gezinme (0xBAD53C) Analist/Araştırmacı, uygulamanın Java Network Launch Protokolü (JNLP) istemci mimarisinde güvenlik açığının var olduğunu gözlemledi.
Araştırmacı, uygulamanın jar dosyasını ayrıştırarak ve önemli yetkilendirme kontrollerini değiştirerek, müşterinin uzaktan yöntem çağrısı (RMI) aracılığıyla sunucuya ayrıcalıklı komutlar göndermek için silahlandırılabileceğini keşfetti.
Saldırının şiddeti, HPE’nin yazılımı yaşam sonu olarak belirlediği gerçeğiyle güçlendirilir, yani güvenlik yamaları almayacaktır.
Halen bu yazılımı kullanan kuruluşların birincil azaltma stratejileri olarak sıkı ağ düzeyinde izolasyon uygulamaları önerilmektedir.
Teknik sömürü analizi
Sömürü süreci, arka uç sunucusuna 1099 bağlantı noktası üzerinden bağlanan CMU istemci uygulamasını (cmugui_standalone.jar) indirmek ve ayrıştırma ile başlar.
.webp)
Ayrılmış kodun analizi, aşağıdaki işlevi değiştirerek atlatılabilen, istemci tarafı “Isadmin” yetkilendirme kontrollerinin birden fazla örneğini ortaya çıkardı:-
public Boolean isUserAdmin() {
try {
CMUResponse cmuResponse;
String output = "";
cmuResponse = ModelDispatcher.getRMIModel().executeCmdLine("ifconfig");
output = (String)cmuResponse.getData("stdout");
System.out.println(output);
} catch (IOException e) {
e.printStackTrace();
return this.isAdmin;
}
return this.isAdmin;
}Değiştirilmiş istemciyi yeniden yazdıktan sonra, saldırganın “ifconfig” komutunu başarıyla yürüttüğü ModelDispatcher.getRmimodel ().
.webp)
Güvenlik açığı başlangıçta Mayıs 2023’te HPE’ye bildirildi, ancak CVE tanımlayıcısını yalnızca Ocak 2025’te birden fazla güvenlik kuruluşuyla kapsamlı bir şekilde takip ettikten sonra, güvenlik açığı açıklama sürecindeki zorlukları vurguladı.
Are You from SOC/DFIR Team? - Try Free Malware Research with ANY.RUN - Start Now