Birleşik Güvenlik Operasyonları (SecOps) için Python tabanlı bir web sunucusu olan Logsign, tehdit aktörlerinin sistem üzerinde tam kontrole sahip olmasını sağlayabilecek kritik güvenlik açıklarını başarıyla giderdi.
CVE-2024-5716 ve CVE-2024-5717 olarak tanımlanan güvenlik açıkları, HTTP istekleri aracılığıyla uzaktan, kimliği doğrulanmamış kod yürütmeyi sağlamak için birleştirilebilir.
Logsign, güvenlik analistlerine veri gölleri üzerinde tam görünürlük ve kontrol sağlar. Sınırsız veri toplayabilir ve depolayabilir, tehditleri araştırabilir ve tespit edebilir ve otomatik olarak yanıt verebilirler.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
CVE-2024-5716: Kimlik Doğrulama Baypası
İlk güvenlik açığı, CVE-2024-5716, parola sıfırlama mekanizmasındaki bir kimlik doğrulama atlama açığıdır. Bu sorun, aşırı parola sıfırlama girişimlerine yönelik kısıtlamaların olmamasından kaynaklanır. Bir saldırgan, doğru sıfırlama kodunu zorla alana kadar yöneticinin parolasını sıfırlamak için birden fazla istek göndererek bunu istismar edebilir. Doğru sıfırlama kodu elde edildiğinde, saldırgan yöneticinin parolasını sıfırlayabilir ve sisteme yönetim erişimi elde edebilir.
CVE-2024-5717: Yetkilendirme Sonrası Komut Enjeksiyonu
İkinci güvenlik açığı, CVE-2024-5717, kimlik doğrulama sonrası bir komut enjeksiyon kusurudur. Bu güvenlik açığı, kimliği doğrulanmış kullanıcıların, bir sistem çağrısını yürütmeden önce kullanıcı tarafından sağlanan dizelerin uygunsuz bir şekilde doğrulanması nedeniyle sistemde keyfi kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekmesine rağmen, kimlik doğrulama atlama kusuru (CVE-2024-5716) kullanılarak atlatılabilir.
Trend Micro Zero Day Initiative’e (ZDI) göre, bir saldırgan bu güvenlik açıklarını birleştirerek uzaktan, kimliği doğrulanmamış kod yürütmeyi başarabilir. Bu istismar, yöneticinin parolasını sıfırlamak ve yeni kimlik bilgileriyle oturum açmak için CVE-2024-5716’yı kullanmayı içerir.
Kimliği doğrulandıktan sonra saldırgan, kök kullanıcı olarak keyfi komutları yürütmek için CVE-2024-5717’yi kullanabilir. Bu, saldırgana sistem üzerinde tam kontrol sağlayan ters bir kabuk elde etmek için kullanılabilir.
Bu güvenlik açıklarını birlikte kullanan saldırganlar şunları yapabilir:
- Parola sıfırlama açığıyla kimlik doğrulamayı atlatın
- Yönetici olarak oturum açın
- Demo modu özelliği ile keyfi sistem komutlarını yürütün
Bu saldırı zinciri, Logsign sunucusunun kök ayrıcalıklarıyla çalıştırılması yoluyla tam kontrol sağlar.
Azaltma
Logsign bu güvenlik açıklarını 6.4.8 sürümünde düzeltti. Kullanıcıların sistemlerini olası istismarlardan korumak için bu sürüme güncellemeleri şiddetle tavsiye edilir. Ayrıca, diğer olası güvenlik açıklarını belirlemek ve düzeltmek için yazılımın tam bir denetiminin gerçekleştirilmesi önerilir.
Bu güvenlik açıkları, bu tür kritik güvenlik sorunlarının önlenmesi için sağlam kimlik doğrulama mekanizmalarının ve uygun girdi doğrulamasının önemini vurgulamaktadır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo