Crowdstrike, Falcon sensöründe Linux, Falcon Kubernetes giriş denetleyicisi ve Falcon konteyner sensöründe yüksek şiddetli bir güvenlik açığı açıkladı.
CVE-2025-1146 olarak tanımlanan güvenlik açığı, Taşıma Katmanı Güvenliği (TLS) bağlantı rutininde bir doğrulama mantığı hatasından kaynaklanır.
Bu güvenlik açığı, ağ trafiği üzerinde kontrol sahibi olan saldırganların, uygunsuz sunucu sertifikası doğrulamasını kullanarak ortada insan (MITM) saldırıları yapmalarına izin verebilir.
Güvenlik açığı, 7.06 sürümünden önce Linux ve ilgili bileşenler için Falcon sensörünün sürümlerini etkiler. Sorun, Crowdstrike bulutu ile TLS iletişimi sırasında sunucu sertifikalarının yanlış işlenmesinden kaynaklanmaktadır.
Etkilenen sürümler:
| Linux için şahin sensörü | Falcon Kubernetes Kabul Denetleyicisi | Falcon konteyner sensörü |
|---|---|---|
| <7.20.17308 | <7.20.1808 | <7.20.5908 |
| <7.19.17221 | <7.18.1605 | <7.19.5807 |
| <7.18.17131 | <7.17.1503 | <7.18.5705 |
| <7.17.17014 | <7.16.1403 | <7.17.5603 |
| <7.16.16909 | <7.14.1203 | <7.16.5503 |
| <7.15.16806 | <7.13.1102 | <7.15.5403 |
| <7.14.16705 | <7.12.1002 | <7.14.5306 |
| <7.13.16606 | <7.11.904 | <7.13.5202 |
| <7.11.16410 | <7.10.806 | <7.12.5102 |
| <7.10.16321 | <7.06.603 | <7.11.5003 |
| <7.07.16209 | <7.10.4907 | |
| <7.06.16113 | <7.06.4705 |
Eğer sömürülürse, bir saldırgan şifrelenmiş iletişimi engelleyebilir ve manipüle edebilir, aktarılan verilerin gizliliğini ve bütünlüğünü tehlikeye atabilir.
Ortak güvenlik açığı puanlama sistemi (CVSS) bu kusuru 8.1 (yüksek) olarak derecelendirerek potansiyel etkisinin altını çiziyor. Güvenlik açığı, CWE-296 (“Sertifikanın Güven Zincirinin Uygunsuz Takibi”) ve Capec-94 (“Ortada Düşman”) altında sınıflandırılır ve sertifika doğrulama zayıflığı olarak doğasını vurgular.
Güvenlik açığı, Falcon sensörünü veya kubernetes ve konteynere özgü muadillerini çalıştıran Linux tabanlı sistemleri sadece etkiler.
Windows ve macOS sensörlerinin etkilenmediği doğrulanır. Crowdstrike, bugüne kadar gerçek dünya saldırılarında bu kırılganlığın hiçbir kanıtının kullanılmadığını vurguladı.
Crowdstrike, iç test sırasında güvenlik açığını belirledi, kusurun tanımlanmasını takiben Crowdstrike, etkilenen tüm ürünler için 7.06 ve daha sonraki sürümlerde bir düzeltme yayınladı. Müşteriler, herhangi bir riski azaltmak için sistemlerini derhal güncellemeleri istenir.
Sabit Sürümler:
| Linux için şahin sensörü | Falcon Kubernetes Kabul Denetleyicisi | Falcon konteyner sensörü |
|---|---|---|
| 7.21.17405 ve sonraki | 7.21.1904 ve sonraki | 7.21.6003 ve sonraki |
| 7.20.17308 | 7.20.1808 | 7.20.5908 |
| 7.19.17221 | 7.18.1605 | 7.19.5807 |
| 7.18.17131 | 7.17.1503 | 7.18.5705 |
| 7.17.17014 | 7.16.1403 | 7.17.5603 |
| 7.16.16909 | 7.14.1203 | 7.16.5503 |
| 7.15.16806 | 7.13.1102 | 7.15.5403 |
| 7.14.16705 | 7.12.1002 | 7.14.5306 |
| 7.13.16606 | 7.11.904 | 7.13.5202 |
| 7.11.16410 | 7.10.806 | 7.12.5102 |
| 7.10.16321 | 7.06.603 | 7.11.5003 |
| 7.07.16209 | 7.10.4907 | |
| 7.06.16113 | 7.06.4705 |
Doğrudan 7.21 sürümüne veya daha yeni sürümlere yükseltilemeyen kuruluşlar için, daha eski desteklenen sürümler için sıcaklıklar kullanılabilir. Bunlara, güncelleme politikaları veya manuel indirmeler yoluyla dağıtım için Falcon konsolundan erişilebilir.
Azaltma adımları
Bu sorunu ele almak için CrowdStrike şunları önerir:
- Etkilenen sistemleri 7.06 veya daha yüksek sürümlere yükseltmek.
- Paket dağıtım veya orkestrasyon araçlarında modası geçmiş kurulum ikili dosyalarının değiştirilmesi.
- Potansiyel MITM denemeleri için ağ trafiğini izleme.
- Saldırgan erişimini sınırlamak için sağlam ağ segmentasyonunun uygulanması.
- Güvenlik açıkları için güvenlik yapılandırmalarını düzenli olarak denetleme.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri