Yeni araştırmalar, .NET Framework’teki, uzaktan kod yürütmeyi gerçekleştirmek için kurumsal düzeydeki uygulamalara karşı kullanılabilecek yararlanma temellerini ortaya çıkardı.
WatchTowr Labs, kod adını “geçersiz yayın güvenlik açığı” olarak belirledi SABUNsorunun Barracuda Hizmet Merkezi RMM’yi, Ivanti Endpoint Manager’ı (EPM) ve Umbraco 8’i etkilediğini söyledi. Ancak .NET’in yaygın kullanımı göz önüne alındığında etkilenen satıcıların sayısı muhtemelen daha uzun olacak.
Bulgular bugün watchTowr güvenlik araştırmacısı Piotr Bazydlo tarafından Londra’da düzenlenen Black Hat Europe güvenlik konferansında sunuldu.
SOAPwn, temel olarak saldırganların, Basit Nesne Erişim Protokolü (SOAP) mesajlarını işleme biçimindeki hatalar nedeniyle, .NET temelleri üzerine inşa edilen ürünlerde rastgele kod yürütmek üzere Web Hizmetleri Açıklama Dili (WSDL) içe aktarmalarını ve HTTP istemci proxy’lerini kötüye kullanmasına olanak tanır.
Bazydlo, “Genellikle SOAP istemcileri aracılığıyla kötüye kullanılabilir, özellikle de saldırgan tarafından kontrol edilen WSDL’den dinamik olarak oluşturulmuşlarsa.” dedi.
Sonuç olarak, .NET Framework HTTP istemci proxy’leri, dosya sistemi işleyicileri kullanılarak değiştirilebilir ve “file:// gibi bir şeyi URL olarak ileterek rastgele dosya yazma işlemi gerçekleştirilebilir.
Varsayımsal bir saldırı senaryosunda, bir tehdit aktörü bu davranıştan yararlanarak bir Evrensel Adlandırma Kuralı (UNC) yolu (örneğin, “file://attacker.server/poc/poc”) sağlamak ve SOAP isteğinin kendi kontrolü altındaki bir SMB paylaşımına yazılmasına neden olabilir. Bu da saldırganın NTLM meydan okumasını yakalamasına ve onu kırmasına olanak tanıyabilir.
Hepsi bu değil. Araştırma ayrıca, oluşturulan HTTP istemci proxy’si tarafından kullanılan URL’yi doğrulamaması gerçeğinden yararlanarak ServiceDescriptionImporter sınıfını kullanarak WSDL dosyalarından HTTP istemci proxy’leri üreten uygulamalarda daha güçlü bir yararlanma vektörünün silah haline getirilebileceğini de buldu.
Bu teknikte, bir saldırgan, savunmasız uygulamalara kontrol ettiği bir WSDL dosyasına işaret eden bir URL sağlayabilir ve tamamen işlevsel bir ASPX web kabuğunu veya CSHTML web kabukları veya PowerShell komut dosyaları gibi ek yükleri bırakarak uzaktan kod yürütme elde edebilir.
Mart 2024 ve Temmuz 2025’teki sorumlu açıklamanın ardından Microsoft, sorunun bir uygulama sorunu veya davranışından kaynaklandığını ve “kullanıcıların kod oluşturup çalıştırabilecek güvenilmeyen girdileri kullanmaması gerektiğini” belirterek güvenlik açığını düzeltmemeyi tercih etti.
Bulgular, popüler bir çerçevede beklenen davranışın, NTLM geçişine veya rastgele dosya yazımına yol açan potansiyel bir istismar yolu haline gelebileceğini gösteriyor. Sorun o zamandan beri Barracuda Service Center RMM sürüm 2025.1.1’de (CVE-2025-34392, CVSS puanı: 9,8) ve Ivanti EPM sürüm 2024 SU4 SR1’de (CVE-2025-13659, CVSS puanı: 8,8) ele alınmıştır.
Bazydlo, “SOAP proxy’lerinin, SOAP isteklerini HTTP üzerinden göndermek yerine dosyalara yazmasını sağlamak mümkün” dedi. “Çoğu durumda bu, web kabuğu yüklemeleri veya PowerShell betiği yüklemeleri aracılığıyla uzaktan kod yürütülmesine yol açar. Kesin etki, proxy sınıflarını kullanan uygulamaya bağlıdır.”