18 Eylül 2025’te Orange Cert, Nokia’nın CBI’larını (Cloudband Altyapı Yazılımı) ve NCS (Nokia Container Service) Yönetici API’sını (CVE-2023-49564) etkileyen kritik bir kimlik doğrulama baypası güvenlik açığını kamuya açıkladı.
CVSS 3.1 skoru 9.6 (AV: A/AC: L/PR: N/UI: N/S: C/C: H/I: H/A: H) ile, güvenlik açığı, konteyner ağ işlevlerini düzenlemek ve güvence altına almak için bu yönetim platformlarına dayanan kuruluşlar için ciddi bir risk oluşturmaktadır.
Bu güvenlik açığından yararlanan saldırganlar, geçerli kimlik bilgileri olmadan sınırsız API uç noktalarını geçebilir ve bu da potansiyel olarak hassas altyapı bileşenlerinin tam olarak uzlaşmasına yol açar.
Güvenlik açığı, CBIS 22 ve NCS 22.12 yönetici ana bilgisayarları tarafından kullanılan Nginx Podman konteyneri içindeki kimlik doğrulama doğrulama mekanizmasında bulunur.
Özellikle, API’nın kimlik doğrulama katmanı özel HTTP başlıklarını düzgün bir şekilde doğrulayamaz. Taleplerine özel olarak biçimlendirilmiş bir başlık hazırlayarak ve enjekte ederek, kimliği doğrulanmamış bir düşman tüm kimlik bilgisi kontrollerini atlayabilir ve yöneticiler için ayrılmış uç noktalara ulaşabilir.
Bu uç noktalar, ağ dilim konfigürasyonlarını değiştirme, konteyner görüntülerinin dağıtılması ve hassas kiracı verilerinin alınması gibi kritik işlemleri kontrol eder.
API’nın geniş ayrıcalıkları göz önüne alındığında, başarılı sömürü saldırganların yüksek değerli varlıkları manipüle etmesini veya dışarı atmasını, kapsayıcılara kötü amaçlı kod enjekte etmesini veya yönetim düzleminde ağ hizmetlerini bozmasını sağlar.
CVSS vektörünün hizmet kapsamı (S: C) bileşeni, güvenlik açığının sistemik ölçekte hem gizlilik hem de bütünlük üzerindeki etkisinin altını çizmektedir.
Yönetim ağının içine girdikten sonra, tehdit aktörleri, daha fazla erişim kısıtlamaları olmadan yüksek ayrıcalıkların tadını çıkarır ve yanal hareket veya ayrıcalık artışına olan ihtiyacı ortadan kaldırırlar.
Kullanıcı etkileşimi eksikliği (UI: N) ve gerekli ayrıcalıkların yokluğu (PR: N) sömürüyü daha da basitleştirerek bir ön koşul olarak yönetim arayüzüne sadece ağ düzeyinde erişim bırakır.
Nokia CBIS/NCS Yöneticisi API Güvenlik Açığı
Nokia, güvenlik açığının CBIS 22 ve NCS 22.12 kurulumlarını varsayılan yönetici API yapılandırmalarını çalıştırdığını doğruladı.
Daha önce veya özel derlenmiş sürümleri kullanan kuruluşlar, aynı Nginx Podman kimlik doğrulama mantığını kullanırlarsa da savunmasız olabilir.
Sökülme, genellikle özel bir yönetim VLAN ile sınırlı yönetim arayüzüne ağ bağlantısı gerektirir. Bununla birlikte, birçok dağıtım, API’yı daha geniş dahili ağlara veya hatta genel internete maruz bırakarak katı ağ segmentasyonunu göz ardı eder.
Bu gibi durumlarda, kötü niyetli aktörler açık yönetim bağlantı noktalarını tarayabilir, savunmasız örnekleri belirleyebilir ve hemen yetkisiz erişim elde etmek için otomatik başlık enjeksiyon araçlarını başlatabilir.
Güvenlik duvarları veya erişim kontrol listeleri (ACL’ler), yönetim ağında katı IP seviyesi kısıtlamaları uygulayarak riski kısmen azaltabilir.
Bununla birlikte, bu yaklaşım sadece alt savunmaların atlanması veya yanlış yapılandırılması durumunda kuruluşları maruz bırakarak, altta yatan kimlik doğrulama zayıflığını ele almadan saldırı yüzeyini azaltır.
Hafifletme
Nokia, her iki ürün için de yamalar yayınladı: CBIS 22 FP1 MP1.2 ve NCS 22.12 MP3. Yöneticiler, uygun üstbilgi doğrulama ve kimlik doğrulama uygulamasını geri yüklemek için bu güncellemeleri hemen uygulamaları istenir.
Yama, savunmasız Nginx Podman konteyner görüntüsünü, yetkisiz başlıkları reddeden ve API erişimi vermeden önce sağlam oturum belirteç doğrulaması gerçekleştiren sertleştirilmiş bir sürümle değiştirir.
Yamaya ek olarak, kuruluşlar şunlar olmalıdır:
- Ağ erişimini, Mikrosegmentasyon ve Güvenlik Duvarı Kuralları kullanarak, yalnızca yetkili idari ana bilgisayarlardan bağlantılara izin vererek kısıtlayın.
- 401/403 hatalarında anormal HTTP başlık desenleri veya sivri uçları için API günlüklerini izleyin, bu da tarama veya kaba kuvvet denemelerini gösterebilir.
- Yönetim konsollarına erişen ayrıcalıklı kullanıcılar için çok faktörlü kimlik doğrulama (MFA) uygulayarak, başlık doğrulamasının ötesinde ekstra bir güvenlik katmanı ekleyin.
- Üretim ortamlarında eski Nginx veya Podman bileşenlerinin kalmamasını sağlamak için konteyner görüntülerini ve orkestrasyon komut dosyalarını düzenli olarak denetleyin.
Bu en iyi uygulamaları derhal yama dağıtımıyla birleştirerek, işletmeler CVE-2023-49564’ten kaynaklanan uzlaşma olasılığını önemli ölçüde azaltabilir.
Orange Cert’in keşfi, konteynerleştirilmiş ağ işlevlerini ve bunların yönetim arayüzlerini güvence altına almadaki sürekli zorlukların altını çiziyor. 5G ve Edge dağıtımları hızlandıkça, düzenleme API’lerinin bütünlüğü çok önemli hale gelir.
Bu yüksek şiddetli güvenlik açığı, operatörlerin kritik telco altyapısını korumak için titiz yama yönetimi ve ağ segmentasyon disiplinlerini korumalarını hatırlatır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.