Fortra FileCatalyst İş Akışı, kimliği doğrulanmamış uzaktaki saldırganların hileli yönetici kullanıcılar oluşturmasına ve uygulama veritabanındaki verileri değiştirmesine olanak verebilecek bir SQL enjeksiyon güvenlik açığına karşı savunmasızdır.
FileCatalyst Workflow, büyük dosya boyutlarını destekleyen web tabanlı bir dosya alışverişi ve paylaşım platformudur. Dünya çapındaki kuruluşlar tarafından veri aktarımlarını hızlandırmak ve özel bulut alanlarında işbirliği yapmak için kullanılır.
CVE-2024-5276 olarak takip edilen kritik (CVSS v3.1: 9.8) güvenlik açığı, 18 Haziran 2024’te Tenable araştırmacıları tarafından keşfedildi, ancak ancak dün kamuoyuna duyuruldu.
Fortra, bir güvenlik bülteninde kusurun yönetici kullanıcı oluşturma ve veritabanı manipülasyonuna izin verdiğini, ancak bu yolla veri çalmanın mümkün olmadığını açıkladı.
Fortra’nın bülteninde, “Fortra FileCatalyst Workflow’daki bir SQL Injection açığı, saldırganın uygulama verilerini değiştirmesine olanak tanıyor” ifadeleri yer alıyor.
“Muhtemel etkiler arasında yönetici kullanıcıların oluşturulması ve uygulama veritabanındaki verilerin silinmesi veya değiştirilmesi yer alır. Bu güvenlik açığı kullanılarak SQL enjeksiyonu yoluyla veri sızdırılması mümkün değildir.”
Kusur, FileCatalyst Workflow 5.1.6 Build 135 ve daha eski sürümleri etkiliyor. Kullanıcılar için önerilen yükseltme hedefi olan FileCatalyst Workflow 5.1.6 build 139’da düzeltmeler kullanıma sunuldu.
Kimliği doğrulanmamış suistimal, hedef örnekte anonim erişimin etkinleştirilmesini de gerektirir. Aksi takdirde, CVE-2024-5276’dan yararlanmak için kimlik doğrulaması gerekir.
Herkese açık istismar mevcut
Tenable, 15 Mayıs 2024’te CVE-2024-5276’yı keşfetti ve sorunu ilk olarak 22 Mayıs’ta Fortra’ya, güvenlik açığını gösteren bir kavram kanıtlama (PoC) istismarıyla birlikte açıkladı.
Fortra’nın güvenlik bülteninin yayınlanmasıyla eş zamanlı olarak Tenable, anonim bir uzaktan saldırganın Workflow web uygulamasının çeşitli URL uç noktalarında ‘jobID’ parametresi aracılığıyla SQL enjeksiyonunu nasıl gerçekleştirebileceğini gösteren istismarını yayınladı.
Sorun, ‘findJob’ yönteminin, bir SQL sorgusunda ‘WHERE’ yan tümcesini oluşturmak için girişi temizlemeden kullanıcı tarafından sağlanan bir ‘jobID’ kullanması ve saldırganın kötü amaçlı kod eklemesine izin vermesidir.
Tenable’ın betiği, FileCatalyst İş Akışı uygulamasında anonim olarak oturum açar ve bilinen bir parolaya (‘password123’) sahip yeni bir yönetici kullanıcı (‘operatör’) eklemek için ‘jobID’ parametresi aracılığıyla bir SQL Enjeksiyonu gerçekleştirir.
Sonunda oturum açma belirtecini alır ve güvenlik açığı bulunan uç noktada oturum açmak için yeni oluşturulan yönetici kimlik bilgilerini kullanır.
Sorunun aktif olarak istismar edildiğine dair herhangi bir rapor bulunmuyor ancak çalışan bir açığın yayınlanması bu durumu çok yakında değiştirebilir.
2023’ün başlarında, Clop fidye yazılımı çetesi, ürünü kullanan yüzlerce kuruluşa şantaj yapmak için veri hırsızlığı saldırılarında CVE-2023-0669 olarak takip edilen Fortra GoAnywhere MFT sıfır gün güvenlik açığından yararlandı.