Hacker’lara, açma sırasında dosya sistemlerini değiştirme yeteneği veren Zip Slip gibi yol geçiş kusurları, sürekli değişen siber güvenlik tehditleri dünyasında ciddi bir tehlike olmaya devam ediyor.
Sıkıştırma yardımcı programlarında yetersiz giriş validasyonundan kaynaklanan bu güvenlik açığı, rakiplerin arşiv dosyalarına kötü amaçlı yollar yerleştirmesini ve yetkisiz dosya oluşturma, üzerine yazma veya amaçlanan dizinlerin dışında yürütülmesine yol açmasını sağlar.
Son yıllarda yaygın olarak keşfedilen ve belgelenen zip kayması, bu yapılarda dosya yolu meta verilerinin doğal olarak dahil edilmesinden yararlanan Zip, TAR, RAR ve 7Z dahil olmak üzere çok çeşitli sıkıştırma formatlarını etkiler.
Dekompresyon araçları bu arşivleri titiz bir yol sanitasyonu olmadan işlerken, saldırganlar hassas sistem konumlarını hedeflemek için göreceli veya mutlak yollardan yararlanabilir, bu da potansiyel olarak uzaktan kod yürütülmesine veya kalıcı arka planlara neden olabilir.
Bu makale, Winrar ve Unrar gibi büyük yazılımı etkileyen sömürü tekniklerini ve önemli güvenlik açıklarını vurgulayarak zip slip mekaniğini araştırıyor.
Zip kayma sömürüsünün mekaniği
ASEC raporuna göre, Zip Slip, daha sonra ekstraksiyon sırasında tam anlamıyla yorumlanan sıkıştırılmış arşivlerin meta verilerine hazırlanmış dosya yolları enjekte ederek çalışır.
Özünde, savunmasız bir dekompresyon programı, “../” veya mutlak yollar gibi geçiş dizileri içeren bir dosya adıyla karşılaştığında, bunları normalleştirmeyi veya kısıtlamayı başaramaz ve dosyaların istenmeyen yerlere yazılmasına izin verir.
Örneğin, bir Linux ortamında, bir saldırgan bir fermuar arşivine “../../../ ../ETC/passwd” gibi bir yol yerleştirerek, ekstraksiyon üzerine sistemin şifre dosyasının üzerine yazabilir ve kullanıcı kimlik doğrulama mekanizmalarını potansiyel olarak tehlikeye atabilir.
Benzer şekilde, Windows sistemlerinde, başlangıç klasörünü hedefleyen “/../appdata/roaming/microsoft/windows/start menüsü/programları/startup/” gibi yollar, arşivin iyi huylu görünümü nedeniyle başlangıç tespitinden kaçınan, önyükleme üzerinde yürütülen kalıcı kötü amaçlı yazılımları dağıtabilir.
Güvenlik açığının evrenselliği, dosya başlıklarının yol bilgilerini açıkça depoladığı sıkıştırma formatlarının yapısal tasarımından kaynaklanmaktadır.
Sihirli bir numara (0x504b0304) ile başlayan ve sürüm uyumluluğu, sıkıştırma yöntemi (örn., 0x0800 olarak kodlanmış söndürme), CRC-32 kontrol toplamları ve en önemlisi, dosya adı uzunluğu ve içerik için byte feltisi 30’dan başlayan alanları içeren Zip formatının yerel dosya üstbilgisini göz önünde bulundurun.
Bu dosya adı alanı, alt dizin oluşturma veya geçiş sağlayan tam yolları kapsayabilir.
Saldırganlar genellikle göreceli yollar eklemek için Python’un Zipfile modülü gibi araçları kullanarak veya doğrudan arşivin ikili yapısını düzenleyerek manipüle eder.
RAR ve TAR formatları için, RAR’ın yol dizeleri veya 100 baytlık dosya adı alanı içeren blok başlıkları gibi benzer başlık yapıları benzer istismarları kolaylaştırır.
7Z gibi şifreli formatlar bile, düz metin yollarını gizlerken, kurutma sonrası işlem validasyonu ihmal ederse, kanonik yol çözünürlüğü ihtiyacının ve dekompresyon mantığında sınır kontrollerinin altını çiziyorsa duyarlı kalır.
Açıklamak için, aşağıdaki tablo, bir ZIP yerel dosya başlığının temel bileşenlerini özetlemekte ve manipülasyona yatkın alanları vurgulamaktadır:
| Bayt | Boyut | Tanım |
|---|---|---|
| 0 | 4 | Sihirli numara (50 4B 03 04 olmalıdır) |
| 4 | 2 | Çıkarılmak için gerekli sürüm (minimum) |
| 6 | 2 | Genel amaçlı bit bayrağı |
| 8 | 2 | Sıkıştırma yöntemi (örn., Yok = 0, Deflat = 8) |
| 10 | 2 | Son Değişiklik Süresi Dosya |
| 12 | 2 | Dosya Son değişiklik tarihi |
| 14 | 4 | Sıkıştırılmamış verilerin CRC-32’si |
| 18 | 4 | Sıkıştırılmış boyut (veya ZIP64 için FF FF FF FF) |
| 22 | 4 | Sıkıştırılmamış boyut (veya ZIP64 için FF FF FF FF) |
| 26 | 2 | Dosya Adı Uzunluğu (N) |
| 28 | 2 | Ekstra alan uzunluğu (m) |
| 30 | N | Dosya adı |
| 30+N | M | Ekstra alan |
Bu yapı, katı doğrulama ile sınırsız dosya adı girişinin yol geçişi için nasıl bir vektör haline geldiğini ortaya koymaktadır.
Dikkate değer güvenlik açıkları
Son açıklamalar, Zip Slip’in gerçek dünya etkisi konusunda endişeleri artırmıştır. 7.13’ten önceki Winrar sürümlerini etkileyen CVE-2025-8088, saldırganların alternatif veri akışları (ADS) ile birleştirilmiş “../” dizileri kullanarak yol kontrollerini atlamasına izin vererek keyfi dosya oluşturma sağlar.
ESET araştırmacıları tarafından keşfedilen bu kusur, hedeflenen kampanyalarda Romcom Apt grubu tarafından kullanıldı.
Benzer şekilde, 7.12’den önce Winrar’da CVE-2025-6218, boşlukları göreceli yollara gömerek, filtreleri atlatarak ve yük dağıtımına izin vererek uzaktan kod yürütülmesini kolaylaştırır.
6.12’nin altındaki Unrar sürümlerinde CVE-2022-30333 gibi eski sorunlar, UNIX benzeri sistemleri hedefler, temel geçiş dizeleri aracılığıyla ~/.ssh/yetkili_keyler gibi dosyaların üzerine yazma, CVE-2018-20250, 5.61’den önce Winrar’da UNACEV2.dll, velil.
Sonuç olarak, Zip Slip’in gücü, yalnızca kullanıcı tarafından başlatılan dekompresyon gerektiren düşük bariyer sömürüsünde yatmaktadır.
Azaltma, istenmeyen arşivlere karşı kullanıcı uyanıklığının yanı sıra, mutlak yolları reddetme veya geçiş unsurları olanlar gibi yazılımlarda sağlam yol normalizasyonu gerektirir.
Winrar gibi araçlarda düzenli güncellemeler şarttır, çünkü açılmamış sürümler gelişmiş kalıcı tehditler için ağ geçitleri olarak kalır.
Sıkıştırma yardımcı programları, otomatik yapı boru hatları ve bulut hizmetleri de dahil olmak üzere daha geniş ekosistemlere entegre edildikçe, gelişen dosya manipülasyon saldırılarına karşı korunmak için güvenli kodlama uygulamalarında zip kaymasının ele alınması zorunludur.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!