Kritik Modsecurity WAF güvenlik açığı, boş XML etiketleri aracılığıyla hizmet reddine izin verir


ModSecurity WAF Güvenlik Açığı

MODSecurity Web Uygulaması Güvenlik Duvarı (WAF) motorunda yeni keşfedilen bir hizmet reddi güvenlik açığı yüksek alarmda güvenlik uzmanlarına sahiptir.

CVE-2025-52891 olarak adlandırılan kusur, mod_security2’nin belirli sürümlerini etkiler ve boş etiketler içeren XML istekleri işleyerek tetiklenebilir ve potansiyel olarak tam hizmet kesintisine neden olabilir.

Güvenlik açığı Mod_Security2 Sürümleri 2.9.8, 2.9.9 ve 2.9.10’u etkiler, ancak yalnızca yöneticiler Secparsexmlintoargs özelliğini etkinleştirdiğinde.

Google Haberleri

Gelişmiş güvenlik izleme için XML düğümlerini ARGS ve düğüm yollarına ARGS ve düğüm yollarına ayıran bu nispeten yeni işlevsellik, hatalı formlu XML içeriğini işlerken bir yükümlülük haline gelir.

ModSecurity, WAF’lerin “İsviçre Ordu Bıçağı” olarak kabul edilmektedir ve işletmeler, devlet kuruluşları, internet hizmet sağlayıcıları ve dünya çapında ticari WAF satıcıları tarafından kullanılan standart açık kaynaklı web uygulaması güvenlik duvarı motoru olarak hizmet vermektedir.

Başlangıçta Apache HTTP sunucusu için tasarlanan, Microsoft IIS ve NGINX dahil olmak üzere birden fazla platformu desteklemek için gelişti.

Güvenlik açığı, ayrıştırma işlemi sırasında boş XML etiketlerinin yanlış kullanımıdır. Secparsexmlintoargs “açık” veya “onlyargs” olarak ayarlandığında ve sistem, en az bir boş etiket içeren içerik tipi “uygulama/xml” ile XML içeriğini alır (örneğin ), bir segmentasyon hatası oluşur.

Kök neden, ModSecurity’nin kullanımında yatmaktadır. strlen() XML düğüm değerlerinin uzunluğunu hesaplamak için işlev. Boş düğümleri işlerken, strlen() kazayı tetikleyerek null bir değere uygulanır.

Bu, programın tahsis edilmemiş veya dağıtılmamış belleğe erişmeye çalıştığı klasik bir null işaretçi kesintisizliğini temsil eder.

Etki ve sömürü

Güvenlik araştırmacıları, bu güvenlik açığını, öncelikle sömürü için gereken belirli konfigürasyon gereksinimleri nedeniyle 6,5/10’luk orta derecede CVSS puanı ile değerlendirir. Bununla birlikte, etkilenen sistemler için şiddetli olabilir:

  • Tam Hizmet Bozukluğu Hizmet Saldırıları Reddetme yoluyla
  • Sunucu çökmeleri Manuel yeniden başlatma gerektiren
  • Kimlik doğrulama gerekmez sömürü için
  • Uzaktan saldırı vektörü İnternette herhangi bir yerden saldırı etkinleştirme

Güvenlik açığı yalnızca mod_security2 kurulumlarını etkiler ve C ++ ‘da uygulanan ve sorunlu kullanmayan LibmodSecurity3’ü etkilemez. strlen() işlev. Bu mimari fark, farklı programlama dillerinde güvenli kodlama uygulamalarının önemini vurgulamaktadır.

Güvenlik açığı, Avustralya, Melbourne merkezli bir siber güvenlik uzmanı olan Andrew Howe (@Redxanadu) tarafından keşfedildi ve bildirildi. Howe, açık kaynaklı güvenlik araştırması ve penetrasyon testi metodolojilerine katkıları nedeniyle güvenlik topluluğunda iyi bilinmektedir.

Çalışmaları Güvenlik Ders Kitapları, Akademik Makaleler ve OWASP Test Kılavuzu da dahil olmak üzere profesyonel metodolojilerde yer aldı.

Azaltma stratejileri

Sistem yöneticilerinin kurulumlarını korumak için birkaç seçeneği vardır:

  • Hemen Çözüm: Ayarlamak SecParseXmlIntoArgs Modsecurity yapılandırmasında “kapalı”. Bu varsayılan ayar olduğundan, birçok kurulum zaten korunabilir.
  • Uzun vadeli çözüm: Yaklaşan güvenlik yamasını kullanılabilir hale geldiğinde uygulayın. OWASP modsecurity ekibi güvenlik açığını kabul etti ve bir yamanın geliştirildiğini gösterdi.
  • Yapılandırma İncelemesi: Secparsexmlintoargs özelliğini kullanarak sistemleri tanımlamak için geçerli modSorite yapılandırmalarını denetleyin ve belirli kullanım durumları için bu işlevselliğin gerekliliğini değerlendirmek.

Bu güvenlik açığı, modSorite kurulumlarını etkileyen bir dizi güvenlik sorununun en sonuncusunu temsil eder. 2025’in başlarında platform, aşırı sayıda argüman sunarak sömürülebilecek “sanitearg” eylemiyle ilgili yüksek şiddetli bir hizmet kusuru olan CVE-2025-48866 dahil olmak üzere diğer önemli güvenlik açıklarıyla karşı karşıya kaldı.

CVE-2025-52891’in keşfi, web tabanlı saldırılara karşı kritik bir ilk savunma hatları olarak hizmet veren web uygulaması güvenlik duvarlarının karşılaştığı devam eden güvenlik zorluklarının altını çiziyor. Bu sistemler, XML yükleri de dahil olmak üzere giderek daha karmaşık ve çeşitli web trafiğini işledikçe, saldırı yüzeyi genişlemeye devam ediyor.

2024’ün başlarında TrustWave’den Owasp velayetine geçiş yapan OWASP modsecurity projesi, güvenlik sorunlarını aktif olarak ele alıyor ve platformda iyileştirmeler uygulıyor. Organizasyon, sürekli güvenlik geliştirmelerini teşvik etmek için yeni kalkınma süreçleri ve toplum katılımı girişimleri oluşturmuştur.

Güvenlik uzmanları, modSorite çalışan kuruluşların yapılandırmalarının derhal değerlendirmelerini yapmasını ve uygun hafifletme önlemlerini uygulamalarını önermektedir. Spesifik yapılandırma ayarları gerektiren nispeten dar saldırı vektörü, yaygın sömürüyü sınırlayabilir, ancak etkilenen sistemler uygun şekilde yamalanana veya yeniden yapılandırılana kadar savunmasız kalır.

Bu olay, web uygulaması güvenlik duvarları gibi güvenlik odaklı uygulamaların bile, gelişen tehditlere karşı koruyucu yeteneklerini korumak için sürekli uyanıklık ve hızlı bir şekilde yama gerektirdiğini hatırlatıyor.

Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi



Source link