Açık Politika Aracısı (OPA), yakın zamanda hem OPA CLI hem de Go SDK’da mevcut olan, OPA sunucusunun yerel kullanıcı hesabının NTLM kimlik bilgilerinin uzak saldırganların eline geçmesine neden olabilecek kritik bir güvenlik açığını kapattı.
Saldırganlar bu kusurdan yararlanarak OPA sunucusunun kimlik doğrulama mekanizmalarını tehlikeye atabilir ve potansiyel olarak hassas kaynaklara yetkisiz erişim elde edebilir.
Bu güvenlik açığına yönelik düzeltme OPA’nın en son sürümünde mevcuttur.
Windows için Açık Politika Aracısı’nda (OPA) kritik bir güvenlik açığı (CVE-2024-8260) keşfedildi. Saldırganların rastgele UNC paylaşımları eklemek için OPA CLI veya Go paketindeki dosyayla ilgili bağımsız değişkenlerden yararlanmasına olanak tanır.
Saldırganlar bunu yaparak yerel kullanıcının NTLM kimlik bilgilerini çalabilir ve bu da potansiyel olarak yetkisiz erişime ve parolanın kırılmasına yol açabilir. Bu sorun v0.68.0’dan önceki tüm mevcut sürümleri etkilemiştir ve sorunu çözmek için bir yama yayımlanmıştır.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Açık Politika Aracısı (OPA), diğer uygulamaların yanı sıra Kubernetes’te giriş kontrolü için kullanılan çok yönlü bir politika motorudur ve Rego adı verilen bildirime dayalı bir politika dili kullanır.
OPA açık kaynaklı bir sürüm sunarken aynı zamanda yüksek performanslı senaryolar için Enterprise sürümüne de sahiptir. Bu sürümde politikalar çeşitli kaynaklardan alınabilir veya doğrudan OPA’ya aktarılabilir.
Politikaların OPA’nın CLI veya SDK işlevlerine argüman olarak aktarılma biçiminde potansiyel bir güvenlik açığı bulunmaktadır. Bu, istenmeyen politika uygulamalarına veya hassas bilgilerin açığa çıkmasına neden olabilir.
Araştırmacılar, Windows için OPA’da, saldırganların kullanıcı kimlik bilgilerini çalmasına izin veren bir güvenlik açığı (CVE-2024-8260) keşfetti. Güvenlik açığı, OPA CLI ve Go kitaplığı işlevlerindeki hatalı giriş doğrulaması nedeniyle ortaya çıkmaktadır.
Bir politika dosyası yerine (kötü amaçlı bir sunucuya işaret eden) bir UNC yolu sağlayarak, OPA’yı saldırganın sunucusuyla NTLM kimlik doğrulaması başlatması için kandırdılar ve kullanıcının NTLM karmasını açığa çıkardılar.
Tenable’a göre bu teknik, “eval”, “run” ve “eval -d” gibi çeşitli OPA CLI komutlarıyla çalışıyordu çünkü güvenlik açığı OPA’nın hem Ücretsiz hem de Kurumsal sürümlerini etkiliyor.
0.68.0 sürümünden önceki OPA Go SDK’sı, yetkisiz ağ erişimini tetiklemek için kullanılabilecek güvenlik açıkları içeriyordu.
Bu güvenlik açıkları, ‘loader.go’ paketi içindeki ‘rego.LoadBundle’ ve ‘AsBundle’ gibi işlevlerdeki giriş yollarının yetersiz temizlenmesinden kaynaklanıyordu.
Bir saldırgan, Evrensel Adlandırma Kuralı (UNC) yolu sağlayarak SDK’yı uzak bir paylaşımdan paket yüklemeye zorlayabilir ve bu da potansiyel olarak yetkisiz veri erişimine veya kötü amaçlı kod yürütülmesine yol açabilir.
Sürüm 0.68.0, bu işlevlerde UNC yollarının kullanımını engellemek için denetimler ekleyerek sorunu çözdü.
v0.68.0 öncesinde Windows için OPA’da bulunan bir güvenlik açığı (CVE-2024-8260), saldırganların OPA CLI ve Go SDK aracılığıyla yerel kullanıcı kimlik bilgilerini sızdırmasına olanak tanıyor.
Bunlar “github.com/open-policy-agent/opa/loader” paketindedir (v0.68.0’dan önceki tüm sürümler) ve politika ve paket dosyası yükleme işlemlerini yönetir.
Bunu düzeltmek için OPA CLI’yi ve Go SDK’yı en son sürüme (v0.68.0 veya üzeri) güncelleyin. Bu, yaygın olarak kullanılan açık kaynaklı projelerdeki güvenlik açıklarını belirlemek ve azaltmak için mühendislik ekipleriyle güvenlik işbirliğinin önemini vurgulamaktadır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!