Fortra FileCatalyst Workflow’taki (CVE-2024-5276) kritik bir SQL enjeksiyon güvenlik açığı düzeltildi; PoC’den yararlanma olanağı zaten çevrimiçi olarak mevcuttur.
Şu anda yaygın bir istismar raporu bulunmamakla birlikte, kurumsal yöneticilerin kurulumlarına mümkün olan en kısa sürede yama yapmaları tavsiye ediliyor.
CVE-2024-5276 Hakkında
Fortra FileCatalyst, büyük dosyaların hızlandırılmış, UDP tabanlı dosya aktarımına yönelik kurumsal bir yazılım çözümüdür.
Aşağıdaki bileşenleri içerir:
- FileCatalyst Direct (dosya aktarımı için bir sunucu ve istemci uygulamaları paketi)
- Workflow (dosyaları paylaşmak ve izlemek için bir web portalı)
- Central (kullanıcıların dosya aktarımlarını gerçek zamanlı olarak görüntülemesine olanak tanıyan web tabanlı bir araç)
CVE-2024-5276, İş Akışı bileşenini etkiler ve saldırganların yönetimsel kullanıcı hesapları oluşturmasına ve uygulama veritabanındaki verileri değiştirmesine ve silmesine olanak tanıyabilir; ancak görünüşe göre bu veriyi dışarı sızdırmamak için.
Şirket, “Kimlik doğrulaması yapılmadan başarılı bir şekilde yararlanmak, anonim erişimin etkin olduğu bir İş Akışı sistemi gerektirir, aksi takdirde kimliği doğrulanmış bir kullanıcı gerekir” dedi.
“SQL Enjeksiyonu, uygulamanın girişi uygun şekilde doğrulamaması sonucu ortaya çıkıyor. Saldırgan, giriş dizeleri hazırlayarak hedef yazılımın girdiye dayalı SQL ifadeleri oluşturduğunda, ortaya çıkan SQL ifadesinin uygulamanın amaçladığı eylemlerin dışında eylemler gerçekleştirmesini sağlar.
Güvenlik açığı, FileCatalyst Workflow’un 5.1.6 Build 135 ve önceki sürümlerinden tüm sürümlerini etkilemektedir ve 5.1.6 build 139’da düzeltilmiştir.
CVE-2024-5276 PoC
CVE-2024-5276, anonim uzaktan saldırganların şunları yapmasına olanak tanıyan bir PoC istismarı yayınlayan Tenable araştırmacıları tarafından keşfedildi:
- Güvenlik açığı bulunan bir FileCatalyst İş Akışı uygulamasında oturum açın
- Çeşitli URL uç noktalarında JOBID parametresi aracılığıyla SQL enjeksiyonunu tetikleyin
- Yeni bir yönetici kullanıcı oluşturun (Şebeke) ile şifre123 şifre olarak
- Bu yönetici kullanıcı olarak oturum açın
Kurumsal dosya aktarım çözümleri genellikle şirketlerin hassas bilgilerini çalmaya ve bunları fidye için saklamaya hevesli olan tehdit aktörleri tarafından hedef alınmaktadır.
2023’ün başlarında Fortra’nın GoAnywhere MFT çözümü, Cl0P fidye yazılımı çetesi tarafından sıfır günlük bir güvenlik açığı (CVE-2023-0669) yoluyla hedef alındı.
Üç ay önce, Fortra FileCatalyst İş Akışı’ndaki kritik bir RCE güvenlik açığına (CVE-2024-25153) yönelik PoC yararlanma kodu da kamuya açıklandı, ancak herhangi bir yararlanma girişimi takip edilmedi.