IBM, entegrasyon ve API yönetimi için yaygın olarak kullanılan bir platform olan webMethods Integration Server’ında birkaç ciddi güvenlik açığı ortaya çıkardı. Yazılımın 10.15 sürümünde keşfedilen bu IBM webMethods Integration güvenlik açıkları, bu sisteme güvenen kuruluşlar için birden fazla tehdit oluşturuyor.
Bu webMethods Integration güvenlik açıklarının en kritik olanı CVE-2024-45076 olarak tanımlandı. Bu güvenlik açığına 9,9’luk endişe verici bir CVSS taban puanı atandı ve bu da onu son derece kritik olarak kategorilendirdi.
Bu kusur, kimliği doğrulanmış bir kullanıcının altta yatan işletim sisteminde keyfi dosyaları yüklemesine ve yürütmesine olanak tanır. Bu yüksek riskli güvenlik açığı, istismarının düşük karmaşıklığı ve gereken minimum kullanıcı etkileşimi nedeniyle özellikle endişe vericidir.
Birden Fazla IBM WebMethods Entegrasyon Güvenlik Açığı
CVE-2024-45076’nın yanı sıra iki güvenlik açığı daha tespit edildi. CVE-2024-45075’in CVSS taban puanı 8,8’dir ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarını yönetici düzeyine yükseltmesine izin verir.
Bunun nedeni zamanlayıcı görevlerinde eksik kimlik doğrulama denetimleridir. Benzer şekilde, CVSS taban puanı 6,5 olan CVE-2024-45074, kimliği doğrulanmış kullanıcıların “nokta nokta” dizileri (/../) içeren özel olarak hazırlanmış URL isteklerini kullanarak sunucudaki dizinleri dolaşmasına izin verir. Bu, hassas dosyalara yetkisiz erişime yol açabilir.
Güvenlik açıkları IBM webMethods Integration Server sürüm 10.15’i etkiliyor. Bu sürümü kullanan kuruluşların sistemlerini korumak için bu sorunları derhal ele almaları önemle tavsiye edilir.
IBM, etkilenen kullanıcıların gerekli düzeltmeleri derhal uygulamasını öneriyor. Corefix 14 for Integration Server, Update Manager aracılığıyla edinilebilir. Düzeltmeyi uygulamak için ayrıntılı talimatlar şunları içerir:
- Empower’a Bağlanma kılavuzunda ayrıntılı olarak açıklandığı gibi, komut satırını veya grafik arayüzünü kullanarak Güncelleme Yöneticisi uygulamasını çevrimiçi modda açın.
- “Düzeltmeleri Görüntüle”ye gidin ve “Empower’dan Düzeltmeleri Görüntüle”yi seçin.
- Empower’da mevcut tüm düzeltmeleri listelemek için bir ürün dizini seçin veya seçilen ürün kurulumu için belirli bir destek yaması bulmak üzere bir test yaması anahtarı girin.
- Software AG’den lisanslanan tüm ürünler için en son düzeltmeleri görmek için ürün dizini alanını seçilmemiş halde bırakın.
- İsteğe bağlı olarak, Empower’da düzeltmeleri denetleyecek olan Update Manager’ın çalıştırılacağı bir betik konumu belirtin.
- Listedeki her bir öğe için düzeltme içerikleri ve benioku dosyası dahil olmak üzere ürün için mevcut düzeltmeleri inceleyin.
Şimdilik herhangi bir geçici çözüm veya hafifletme yöntemi mevcut olmadığından, kullanıcıların bu güvenlik açıklarıyla ilişkili riskleri azaltmak için sağlanan düzeltmeyi uygulamaları hayati önem taşımaktadır.
Değişiklik Geçmişi
IBM, bu güvenlik açıklarını ayrıntılarıyla açıklayan güvenlik bültenini yayınladı ve kullanıcıların kritik ürün destek uyarıları hakkındaki güncellemeler için Bildirimlerim’e abone olmaları teşvik ediliyor. Bu proaktif yaklaşım, kuruluşların temel güvenlik güncellemeleri hakkında bilgi sahibi olmalarına ve olası riskleri ele almalarına yardımcı olabilir.
Güvenlik açıkları IBM’e CISA’dan Matthew Galligan tarafından bildirildi. Ek bilgi ve devam eden güncellemeler için IBM Secure Engineering Web Portal’ına ve IBM Ürün Güvenliği Olay Yanıt Blog’una bakın.
Güvenlik bülteninin ilk yayım tarihi 4 Eylül 2024’tür. Kullanıcıların, bu güvenlik açıklarının kendi özel ortamlarındaki etkisini değerlendirmek için CVSS v3 Kılavuzu’nu ve ilgili kaynakları düzenli olarak kontrol etmeleri önerilir.
IBM webMethods Integration Server’daki açıklanan güvenlik açıkları, sistemleri olası istismarlardan korumak için acil eyleme geçmenin kritik ihtiyacını vurgulamaktadır. Kuruluşların gerekli düzeltmeleri uygulamaları ve altyapılarını bu tehditlere karşı korumak için resmi IBM kanalları aracılığıyla bilgi sahibi olmaları teşvik edilmektedir.