Progress Software’in ağ izleme/analiz ve güvenlik çözümü Flowmon’daki kimliği doğrulanmamış bir işletim sistemi komut ekleme güvenlik açığına (CVE-2024-2389) ilişkin daha fazla ayrıntı ve kavram kanıtlama istismarı yayınlandı.
Kritik güvenlik açığı bu ayın başlarında Progress tarafından açıklandı ve yamalandı. Şirket, en son Cuma günü güncellenen bir danışma belgesinde, “Şu anda bu güvenlik açığının istismar edildiğine dair herhangi bir rapor almadık ve müşteriler üzerinde herhangi bir doğrudan etkinin farkında değiliz” dedi.
Progress Software’e göre dünyanın her yerinden 1.500’den fazla kuruluş ağ izleme ve anormallik tespiti için Flowmon’u kullanıyor. Listede Sega, TDK ve Kia yer alıyor.
CVE-2024-2389 Hakkında
CVE-2024-2389, Flowmon’un 11.x ve 12.x sürümlerini etkileyen ancak 10.x ve önceki sürümlerini etkilemeyen komut enjeksiyon güvenlik açığıdır.
Şirket, “Kimliği doğrulanmamış, uzaktaki saldırganlar, rastgele sistem komutlarının kimlik doğrulaması olmadan yürütülmesine izin verecek dikkatle hazırlanmış bir API komutu yayınlamak için Flowmon’un web arayüzüne erişim sağlayabilir” diye açıkladı.
Güvenlik açığı, Rhino Security Labs’ta bir penetrasyon test uzmanı olan David Yesland tarafından keşfedildi ve Progress’e bildirildi ve Salı günü yayınlanan bir blog yazısında keşfin ayrıntılarını verdi.
Güvenlik açığından yararlanıldığında ve komut yürütme işlemi gerçekleştirildiğinde, “uygulamanın ‘flowmon’ kullanıcısı olarak çalıştığını, dolayısıyla komutun bu kullanıcı olarak yürütüleceğini belirtti. Flowmon kullanıcısı sudo ile birkaç komut çalıştırabilir ve komutların birçoğu bir kök kabuk elde etmek için kötüye kullanılabilir.
Rhino Security Labs bir PoC açığı yayınladı ve yakında Metasploit ile birleştirilecek bir modül oluşturdu.
Firemon müşterilerinin mümkün olan en kısa sürede yamalı sürümlerden birine (v12.3.5 veya 11.1.14) yükseltmeleri ve ardından tüm Flowmon modüllerini yükseltmeleri önerilir.