Popüler sistem bilgisi npm paketindeki kritik bir komut enjeksiyon güvenlik açığı yakın zamanda açıklandı ve milyonlarca sistemi potansiyel uzaktan kod yürütme (RCE) ve ayrıcalık yükseltme saldırılarına maruz bıraktı.
CVE-2024-56334 olarak atanan güvenlik açığı, güvenilmeyen kullanıcı girişiyle uğraşırken güvenli kodlama uygulamalarının önemini vurguluyor.
Güvenlik açığı, systeminformation paketinin getWindowsIEEE8021x işlevinde bulunmakta ve özellikle ≤5.23.6 sürümlerini etkilemektedir.
Sorun, doğrudan Windows’un cmd.exe dosyasına parametre olarak aktarılan Wi-Fi SSID alanının yetersiz temizlenmesinden kaynaklanıyor. Bu, saldırganların işletim sistemi komutları olarak yürütülebilecek kötü amaçlı yükleri enjekte etmesine olanak tanır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Güvenlik Açığı Ayrıntıları
GitHub raporlarına göre SSID’nin nasıl elde edildiği ve işlendiği konusunda kusur keşfedildi.
SSID, netsh wlan show arayüz komutu kullanılarak alınır ve ardından cmd.exe /d /s /c “netsh wlan show profiles” dosyasına iletilir.
SSID alanı komuta iletilmeden önce temizlenmez, bu da saldırganların kurbanın sisteminde rastgele komutlar yürütebilecek kötü amaçlı SSID adları oluşturmasına olanak tanır.
Kavram Kanıtı (PoC)
Aşağıdaki adımlar güvenlik açığını göstermektedir:
- Kötü Amaçlı SSID Oluşturma: Saldırgan, bir erişim noktasının SSID’sini aşağıdaki gibi bir komut ekleme yükünü içerecek şekilde ayarlayabilir:
- bir” | ping /t 127.0.0.1 &
- bir” | %SystemDrive%\a\a.exe &
- Kötü Amaçlı Ağa Bağlanma: Kurban, savunmasız bir sistemi kullanarak kötü amaçlı SSID’ye bağlanır.
- Exploit’in yürütülmesi: Saldırgan, güvenlik açığı bulunan işlevi paket aracılığıyla yürütür:
const si = require('systeminformation');
si.networkInterfaces((net) => { console.log(net) });
Bu istismar, yürütülebilir dosyaları çalıştırmak veya belirsiz bir ping döngüsü oluşturmak gibi rastgele komutların yürütülmesine olanak tanır.
Etkilenen ve Yama Uygulanan Sürümler
Daha iyi netlik sağlamak amacıyla tablo biçiminde sunulan sistem bilgileri paketinin etkilenen ve yamalı sürümleri aşağıda verilmiştir:
Sürüm Durumu | Sürüm | Detaylar |
Etkilenen Sürümler | ≤ 5.23.6 | Komut ekleme kusuruna karşı savunmasız. |
Yamalı Sürüm | 5.23.7 | Güvenlik açığı düzeltildi; sanitasyon uygulandı. |
Güvenlik açığının etkisi ciddidir ve önemli güvenlik riskleri oluşturur. Bu kusurdan yararlanılması, sistem bilgi paketinin bir uygulama içinde nasıl kullanıldığına bağlı olarak uzaktan kod yürütmeyi (RCE) veya yerel ayrıcalık yükseltmeyi etkinleştirebilir.
Saldırganlar, özel hazırlanmış bir Wi-Fi SSID aracılığıyla kötü amaçlı komutlar enjekte ederek rastgele komutlar yürütebilir, potansiyel olarak sistemlere yetkisiz erişim elde edebilir, hassas verileri sızdırabilir veya operasyonları kesintiye uğratabilir.
Güvenlik açığı, etkilenen sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atıyor; CVSS v3 temel puanı 10,0 (Yüksek) olup, sorunun kritik niteliğini gösterir. Geliştiricilerin sistemlerine yama yapmak ve potansiyel suiistimalleri önlemek için hızlı hareket etmeleri gerekiyor.
Güvenlik açığı, sorunu ve kavram kanıtını belgeleyen güvenlik araştırmacısı @xAiluros tarafından bildirildi.
Paketin yazarı sebhildebrandt, yamalı bir sürüm yayınlayarak sorunu hızla çözdü. Sistem bilgisi paketine güvenen geliştiriciler, sistemlerini bu kritik kusura karşı korumak için derhal harekete geçmelidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin