Açık Politika Aracısı (OPA), bulutta yerel ortamlarda politika uygulamasını birleştirmek için tasarlanmış açık kaynaklı bir politika motorudur.
Kuruluşların politikaları “Rego” adı verilen üst düzey açıklayıcı bir dil kullanarak yönetmelerine olanak tanır.
Tenable’daki siber güvenlik araştırmacıları yakın zamanda SMB zorla kimlik doğrulama güvenlik açığının tüm Windows OPA sürümlerini etkilediğini tespit etti.
“Kod olarak politika” araçlarının güvenlik araştırması sırasında araştırmacılar, Windows için önemli bir güvenlik açığı (‘CVE-2024-8260, ‘CVSSv3 puanı 6,1’) keşfettiler. “Styra.”
Güvenlik açığı, bir saldırganın dosyayla ilgili argümanları değiştirerek “OPA CLI” ve “Go programlama” dil paketinden yararlanabileceği “standart” ve “Enterprise” sürümlerinin ikisini de etkiliyor.
Ulusal Siber Güvenlik Farkındalığı Ayı Siber Zorluklar – Becerilerinizi Şimdi Test Edin
Özellikle, “meşru Rego kuralları” veya “politika paketleri” sağlamak yerine, tehdit aktörleri uzak bir “SMB paylaşımına” işaret eden kötü amaçlı bir “UNC” yolu girebilir ve bu da Windows sistemini kimlik doğrulama girişiminde bulunmaya zorlayabilir.
Bu kimlik doğrulama girişimi, kurbanın “NT LAN Yöneticisi” (‘NTLM’) kimlik bilgilerini saldırganın kontrollü sunucusuna ifşa eder ve bu da, yakalanan NTLM karmaları yoluyla “kimlik bilgisi aktarma saldırılarına” veya “çevrimdışı şifre kırmaya” olanak tanır.
Güvenlik açığı, araştırmacıların saldırgan tarafından kontrol edilen bir sunucudaki “Yanıtlayıcı aracını” kullanarak kimlik doğrulama girişimlerini başarıyla yakaladığı çeşitli “OPA komutları” kullanılarak gösterildi: –
- opa eval – paket
- opa çalıştırması -s
- opa değerlendirme -d
Bu güvenlik kusuru, “0.68.0” sürümüne yama yapılana kadar OPA’nın tüm “Windows sürümlerini” etkilemiştir; bu da kimlik bilgisi hırsızlığı saldırılarını önlemek için en son sürüme güncelleme yapmanın önemini vurgulamaktadır.
Güvenlik açığı, “github”daki “yetersiz yol temizliği” etrafında yoğunlaşıyordu.[.]com/open-policy-agent/opa/loader” paketinde “LoadBundle()” ve “AsBundle()” gibi kritik işlevler paket yükleme işlemleri sırasında “UNC” yollarını doğru şekilde doğrulayamadı.
Giriş olarak kötü amaçlı UNC yolları (“\” ile başlayan ağ paylaşım yolları) sağlandığında, bu işlevler, yeterli güvenlik kontrolleri olmaksızın uzak paylaşımlara “SMB ağ bağlantıları” kurmaya çalışacaktır.
Aşağıda etkilenen tüm sembollerden bahsettik: –
- Tüm
- TümRegolar
- AsBundle
- Filtrelendi
- Filtrelenen Yollar
- FilteredPathsFS
- GetBundleDirectoryLoader
- GetBundleDirectoryLoaderFS
- GetBundleDirectoryLoaderWithFilter
Bu davranış, saldırganlar tarafından, “NTLM” karma yakalama veya diğer “kimlik doğrulama tabanlı saldırılar” yoluyla olası kimlik bilgisi hırsızlığına yol açan yetkisiz SMB kimlik doğrulama girişimlerini tetiklemek için potansiyel olarak kullanılabilir.
Temel nedenin, kullanıcı tarafından sağlanan yolları doğrudan Go’nun dosya sistemi işlemlerine aktarmadan önce yalnızca minimum düzeyde doğrulama gerçekleştiren “loader.go” paketinde olduğu belirlendi.
“0.68.0” sürümünde uygulanan güvenlik yaması, etkilenen tüm işlevlere kapsamlı UNC yol doğrulama kontrolleri ekleyerek bu sorunu giderdi.
Bu, UNC yolları aracılığıyla uzak paylaşımlara erişme girişimlerini engeller.
Bu güvenlik açığı özellikle “OPA”yı güvenlik altyapılarına “Go SDK” aracılığıyla entegre eden kuruluşları ve satıcıları etkiledi; bu durum, “kurumsal ortamlarda” kullanılan açık kaynaklı bileşenlerde kapsamlı güvenlik analizinin önemini vurguladı.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here