Araştırmacılar, HTTP Yanıt Bölme güvenlik açıklarının kritik bir kümesini belirlediler. Kerio KontrolüGFI Software tarafından geliştirilen, yaygın olarak kullanılan bir Birleşik Tehdit Yönetimi (UTM) çözümü.
Etkisi ciddi olup, potansiyel olarak saldırganların düşük önemdeki sorunları, güvenlik duvarı sistemine kök erişimi sağlayan tek tıklamayla uzaktan komut yürütme (RCE) saldırılarına yükseltmesine olanak tanır.
Toplu olarak CVE-2024-52875 (veya KIS-2024-07) olarak takip edilen bu güvenlik açıkları, yazılımda yaklaşık yedi yıldır varlığını sürdürüyor ve 9.2.5’ten (Mart 2018’de yayınlandı) 9.4.5’e kadar olan sürümleri etkiliyor.
HTTP Yanıt Bölme Güvenlik Açıkları
Güvenlik açıkları, aşağıdakiler de dahil olmak üzere web arayüzünün çeşitli sayfalarındaki CRLF Enjeksiyonu hatalarından kaynaklanmaktadır:
/nonauth/addCertException.cs/nonauth/guestConfirm.cs/nonauth/expiration.cs
Sorun, dest GET parametresi, bir “Konum” HTTP başlığı oluşturmak için kullanılır. 302 Bulundu cevap.
“Özellikle uygulama Satır Besleme (LF) karakterlerini çıkaramıyor (\nKarmain Güvenlik araştırması, saldırganların yazılımı HTTP Yanıt Bölme, Açık Yönlendirmeler ve Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma (XSS) gibi kötü amaçlı etkinlikler için kullanmasına olanak sağladığını belirtti.
Açıklardan Yararlanma Nasıl Çalışır?
Base64’te kodlanmış yükleri enjekte ederek dest parametresini kullanarak saldırganlar, isteğe bağlı HTTP başlıklarını ve hatta özel HTML içeriğini enjekte etmek için HTTP yanıtını değiştirebilir. Örneğin:
- Açık Yönlendirme Saldırıları: Kötü amaçlı bir URL’nin eklenmesi
destparametresi, kullanıcıları saldırganlar tarafından kontrol edilen harici web sitelerine yönlendirebilir. - HTTP Yanıt Bölme: Saldırganlar, HTTP yanıtlarını bölmek ve yanıt gövdesine rastgele veriler enjekte etmek için uygun olmayan şekilde işlenen LF dizilerinden yararlanabilir. Bu, kurbanın tarayıcısında özel komut dosyalarının çalıştırıldığı yansıtılmış XSS saldırılarına olanak tanır.
Kullanıcı etkileşimi ihtiyacı nedeniyle başlangıçta “Düşük” önem derecesine sahip bir sorun olarak sınıflandırılan daha sonraki analizler, güvenlik açıklarının Yüksek (8,8) önem derecesine yükseltilebileceğini ortaya çıkardı. Saldırganlar, Kerio Control’ün yükseltme işlevindeki dokuz yıllık bir açıktan yararlanarak, yalnızca tek bir tıklamayla Uzaktan Komut Yürütme (RCE) yükünü sunabilir.
Yönetici Çerezlerini Çalmak: Kaynakları yüklemek için bir iframe kullanarak /admin/ Saldırganlar, çerez kısıtlamalarını atlayabilir ve yönetim eylemleri için gereken CSRF belirtecine erişebilir.
Yükseltme İşlevselliğinin Kötüye Kullanılması: Bu istismar, Kerio Control’ün cihaz yazılımı yükseltme özelliğini kötüye kullanıyor ve bu özellik, .img dosyalar. Saldırganlar kötü amaçlı bir komut dosyasını bir pakette paketleyebilir. .tar.gz dosya olarak yeniden adlandırın .imgve bunu bir ürün yazılımı güncellemesi olarak yükleyin. Betik kabuk komutları içeriyorsa, bunlar kök ayrıcalıklarıyla yürütülür.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Tek Tıklamayla RCE Saldırısı
Bir Kavram Kanıtı (PoC) komut dosyası, kurban Kerio Control yöneticisinin kötü niyetli bir bağlantıyı ziyaret etmesi için nasıl kandırılabileceğini gösterir:
- Saldırgan kötü amaçlı bir
.imgTers kabuğu başlatan bir kabuk betiği içeren dosya. - Yönetici kullanıcı farkında olmadan saldırganın bağlantısına tıklayarak betiği tetikler.
- Yöneticinin CSRF belirtecini kullanarak, istismar şunları yükler:
.imgÜrün yazılımı yükseltmesi olarak dosya. - Saldırgan, Kerio Control örneğinde bir kök kabuk kazanır.
Saldırgan yürütüldüğünde, tüm güvenlik önlemlerini etkili bir şekilde atlayarak sistemi kök izinleriyle kontrol edebilir.
Kerio Control’e dünya çapındaki ağları koruma konusunda güvenilmektedir. Yaklaşık olarak İnternette aktif olarak dağıtılan 20.000 örnekCensys verilerine göre bu güvenlik açıkları, altyapılarının güvenliğini sağlamak için yazılıma güvenen kuruluşlar için büyük bir tehdit oluşturuyor.
CVE-2024-52875’in keşfi birçok kritik siber güvenlik dersinin altını çiziyor:
- Güvenlik Ürünleri Bile Savunmasız: Saldırılara karşı koruma sağlamak üzere tasarlanan ürünler, dikkatli bir şekilde muhafaza edilmediği takdirde kötüye kullanıma yönelik vektörler olabilir.
- Eski İstismarlar Devam Ediyor: Bu vakada kullanılan istismar, yaklaşık on yıl önce açıklanan ve henüz hafifletilmemiş bir güvenlik açığından kaynaklanıyor; bu da kod denetimleri ve güncellemelerindeki endişe verici bir boşluğun altını çiziyor.
- Saldırganlar Yaratıcı Düşünür: XSS, çerez hırsızlığı ve ürün yazılımının kötüye kullanılması gibi tekniklerin birleştirilmesi, saldırganların görünüşte küçük sorunları nasıl yıkıcı ihlallere dönüştürebileceğini göstermektedir.
Güvenlik açıkları sorumlu bir şekilde GFI Software’e bildirildi ve satıcıya bir yama yayınlaması yönünde çağrıda bulunuldu. Şimdilik Kerio Control’ü kullanan sistem yöneticilerine şunları yapmaları tavsiye ediliyor:
CVE-2024-52875’in keşfi, hiçbir yazılımın güvenlik açıklarına karşı bağışık olmadığının kesin bir hatırlatıcısıdır.
Satıcılar için, sık sık kod incelemelerinin, eski güvenlik açıklarına yama uygulanmasının ve tüm uç noktalarda girdi temizliğinin iyileştirilmesinin önemi vurgulanıyor. Kullanıcılar için yama yönetimi ve ağ sağlamlaştırma da dahil olmak üzere proaktif güvenlik hijyeninin gerekliliğini vurguluyor.
Kerio Control ağ savunması için kritik bir araç olmayı sürdürürken, bu bulgular güvenlik ürünlerinin saldırılara karşı korunmasını sağlama konusunda daha fazla dikkatli olunmasını gerektiriyor. Güvenlik bir varış noktası değil, devam eden bir süreçtir.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide