Ağ performansını ve görünürlüğünü izlemeye yönelik bir araç olan Progress Flowmon’daki üst düzey güvenlik açığı için kavram kanıtı yararlanma kodu yayımlandı.
Progress Flowmon performans izleme, teşhis ve ağ algılama ve yanıt özelliklerini birleştirir. Aralarında SEGA, KIA ve TDK, Volkswagen, Orange ve Tietoevry’nin de bulunduğu dünya çapında 1.500’den fazla şirket tarafından kullanılıyor.
Güvenlik sorunu maksimum önem derecesi 10/10’dur ve Rhino Güvenlik Laboratuarlarındaki araştırmacılar tarafından keşfedilmiştir. Şu anda CVE-2024-2389 olarak izlenmektedir.
Bu güvenlik açığından yararlanan bir saldırgan, özel hazırlanmış bir API isteğini kullanarak Flowmon web arayüzüne uzaktan, kimliği doğrulanmamış erişim sağlayabilir ve isteğe bağlı sistem komutlarını çalıştırabilir.
Flowon geliştiricisi Progress Software, kusur hakkında ilk kez 4 Nisan’da uyarıda bulunarak, ürünün v12.x ve v11.x sürümlerini etkilediği konusunda uyardı. Şirket, sistem yöneticilerini en son sürümler olan v12.3.4 ve 11.1.14’e yükseltmeye çağırdı.
Güvenlik güncellemesi, ‘Otomatik paket indirme’ sistemi aracılığıyla otomatik olarak veya satıcının indirme merkezinden manuel olarak tüm Flowmon müşterilerine yayımlandı. Progress ayrıca daha sonra tüm Flowmon modüllerinin yükseltilmesini de önerdi.
Kullanım kodu mevcut
Bugün yayınlanan bir raporda Rhino Security Labs, bir saldırganın bir web kabuğu oluşturmak ve ayrıcalıkları root’a yükseltmek için bu sorundan nasıl yararlanabileceğini gösteren bir demo ile birlikte güvenlik açığına ilişkin teknik ayrıntıları yayınladı.
Araştırmacılar, kötü amaçlı komutlar yerleştirmek için ‘pluginPath’ veya ‘dosya parametrelerini’ değiştirerek komutları enjekte edebildiklerini açıklıyor. Komut değiştirme sözdizimini kullanarak, örneğin $(…), araştırmacılar keyfi komut yürütmeyi başarabilirler.
Araştırmacılar, “Komut körü körüne yürütülüyor, dolayısıyla yürütülen komutun çıktısını görmek mümkün değil, ancak /var/www/shtml/ dizinine bir web kabuğu yazmak mümkün” diye açıklıyor.
Gergedan Güvenliği
Yaklaşık iki hafta önce İtalya’daki CSIRT’nin bir güvenlik açığının zaten mevcut olduğu konusunda uyardığını belirtmekte fayda var. Aslında BleepingComputer, bir güvenlik araştırmacısının 10 Nisan’da X üzerinde CVE-2024-2389 için geçerli bir PoC yayınladığını tespit etti.
Flowmon sunucuları açığa çıktı
Herkese açık web’de gösterilen Flowmon örneklerinin sayısı, arama motoruna bağlı olarak büyük ölçüde değişiklik gösteriyor gibi görünüyor.
Yayınlanma sırasında ağ varlıkları için Fofa arama motoruna bakıldığında, çevrimiçi olarak kullanıma sunulan yaklaşık 500 Flowmon sunucusunun olduğu görülüyor. Shodan ve Hunter arama motorları 100’den az örnek görüyor.
19 Nisan’da Progress Software bir güvenlik bülteninde müşterilerine CVE-2024-2389’un aktif olarak kullanıldığına dair herhangi bir rapor bulunmadığına dair güvence verdi. Ancak sorunu mümkün olan en kısa sürede güvenli bir sürüme yükselterek çözmek kritik öneme sahiptir.