Microsoft Configuration Manager Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor

   Ocak 20, 2025  Posted in CyberSecurityNews


Microsoft Configuration Manager RCE Güvenlik Açığı

Microsoft Configuration Manager’da (ConfigMgr) kritik bir güvenlik açığı olan CVE-2024-43468 belirlendi ve bu yaygın olarak kullanılan sistem yönetimi yazılımına güvenen kuruluşlar için ciddi bir güvenlik riski oluşturuyor.

CVSS puanı 9,8 olan güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen sistemlerde uzaktan kod çalıştırmasına olanak tanıyor ve potansiyel olarak sistemin tamamen tehlikeye girmesine yol açıyor.

CVE-2024-43468, kimlik doğrulaması yapılmamış iki SQL ekleme hatasından kaynaklanmaktadır. MP_Location ConfigMgr’ın hizmeti. Bu kusurlar, istemci iletileri işlenirken hatalı giriş temizliği nedeniyle ortaya çıkar.

Saldırganlar, ConfigMgr veritabanında sistem yöneticisi ayrıcalıklarıyla rastgele SQL sorguları yürütmek için bu zayıflıklardan yararlanabilir ve uzaktan kod yürütmeyi (RCE) etkinleştirebilir. xp_cmdshell prosedür.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Güvenlik açığı, özellikle KB29166583 kritik düzeltme eki uygulanmadığında ConfigMgr 2403, 2309 ve 2303 sürümlerini etkiliyor. Suistimal, bir Yönetim Noktasına ağ erişimi gerektirir ancak kimlik doğrulama veya kullanıcı etkileşimi gerektirmez, bu da onu yüksek oranda suiistimal edilebilir kılar.

Microsoft Configuration Manager RCE Yayınlandı

SynACKTIV araştırmacıları, saldırganların bu güvenlik açığından nasıl yararlanabileceğini gösteren bir kavram kanıtı (PoC) komut dosyası yayınladı. PoC iki saldırı vektörünü vurgulamaktadır:

  1. Makine Kimliği Ekleme: Bir saldırgan, kötü amaçlı SQL komutlarını sisteme enjekte edebilir. SourceID güvenlik açığını hedefleyen bir XML mesajının alanı getMachineID işlev.
  2. ContentID Ekleme: Bu vektör şunu kullanır: getContentID sistem veritabanından alınan geçerli bir Makine Kimliği sağlayarak işlev görür.

Her iki yöntem de saldırganların yeni sistem yöneticisi hesapları oluşturmasına veya temel sunucuda komutlar yürütmesine olanak tanır.

CVE-2024-43468’in sonuçları ciddidir:

  • Yetkisiz Erişim: Saldırganlar ConfigMgr veritabanına ve içeriğine tam erişim sağlayabilir.
  • Sistem Güvenliğinin Tehlikesi: Saldırganlar ayrıcalıkları yükselterek sunucuda rastgele komutlar çalıştırabilir ve yönetilen cihazlara potansiyel olarak fidye yazılımı veya diğer kötü amaçlı yükleri dağıtabilir.
  • Veri İhlalleri: ConfigMgr veritabanında depolanan hassas veriler risk altındadır.

Azaltma ve Öneriler

Microsoft, bu güvenlik açığını Salı günü güncelleştirmesinde yer alan KB29166583 yamasıyla giderdi. ConfigMgr 2303, 2309 veya 2403 sürümlerini kullanan kuruluşlar, sistemlerinin güvenliğini sağlamak için bu güncelleştirmeyi hemen uygulamalıdır. Ek azaltma stratejileri şunları içerir:

  • Ağ Segmentasyonu: Yönetim Noktalarına erişimi yalnızca güvenilir ağlarla kısıtlayın.
  • Veritabanı Güvenliği En İyi Uygulamaları: Tüm SQL girişlerini doğrulayın ve enjeksiyon saldırılarını önlemek için parametreli sorgular kullanın.
  • Düzenli Güncellemeler: Yamalar yayınlandığında tüm yazılım bileşenlerinin derhal güncellendiğinden emin olun.

SQL enjeksiyon verileri günlük dosyalarında net izler bırakmadığından, CVE-2024-43468’e yönelik istismar girişimlerini tespit etmek zordur. Ancak anormallikler MP_Location.logUpdateSFRequestXML mesajlarını takip eden hatalar gibi, istismar girişimlerine işaret edebilir.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link