Yeni Nesil Teknolojiler ve Güvenli Geliştirme , Güvenlik Operasyonları , Tehdit Tespiti
Nuclei ProjectDiscovery’de Kusur Etkinleştirilmiş İmza Atlaması
Akşaya Asokan (asokan_akshaya) •
6 Ocak 2025
Açık kaynaklı güvenlik açığı tarayıcısı Nuclei, 2,1 milyondan fazla indirilen açık kaynaklı güvenlik açığı yönetimi aracı ProjectDiscovery’deki kritik bir kusuru düzeltti.
Ayrıca bakınız: Bulut Güvenliği ve Güvenlik Duvarının Gelişen Rolü
Güvenlik firması Wiz, saldırganların imza kontrollerini atlamasına ve özel kod şablonları kullanarak kötü amaçlı kod çalıştırmasına olanak tanıyan bir imza doğrulama sistemi kusuru olan kusuru ortaya çıkardı.
Wiz yazılım mühendisi Guy Goldenberg, “Nuclei’nin güvenlik camiasında yaygın şekilde benimsenmesi göz önüne alındığında, araçtaki herhangi bir güvenlik açığının sektör çapındaki potansiyel etkisini fark ettik” dedi. “Bu, Nuclei’nin kod tabanını yakından incelememize yol açtı ve bunun sonucunda geniş kapsamlı sonuçları olan yüksek önem derecesine sahip bir güvenlik açığı olan CVE-2024-43405’in keşfi sağlandı.
Goldenberg, kusurun, Nuclei’nin imza doğrulama sözdizimi düzenli ifadesi veya regex’i ile veri serileştirme dili YAML ayrıştırıcısının yeni satır karakterlerini işleme biçimindeki tutarsızlıktan kaynaklandığını söyledi. Regex tabanlı imza ayrıştırıcı ile başlayan satırları tanımlarken # digest:YAML ayrıştırıcısı şunları işler: # digest: Bir yorum olarak, yürütme sırasında bunu göz ardı etmek bir uyumsuzluğa neden olur.
Goldenberg, “Bu farklılık, doğrulama ve yürütme süreçlerinin mükemmel şekilde uyum sağlayamayacağı potansiyel bir zayıf noktanın altını çiziyor” dedi.
Bu kusurdan yararlanmak için araştırmacı iki özelliği zincirledi. /rregex tarafından satır olarak ve YAML ayrıştırıcısı tarafından satır sonu olarak yorumlanır.
“Bir saldırgan, bu zayıflıkları zincirleyerek Nuclei şablonlarına doğrulanmamış, yürütülebilir içerik enjekte edebilir ve pratik bir güvenlik açığı oluşturmak için belirlenen zayıflıklardan yararlanabilir.”
Güvenilmeyen veya topluluğun katkıda bulunduğu şablonları ve otomatik tarama platformlarını uygun doğrulama veya izolasyon olmadan çalıştıran kuruluşlar, kusur kullanılarak olası istismar riskiyle karşı karşıyadır. Saldırganlar bu kusuru, veri sızdırma veya sistemin tehlikeye atılması amacıyla kötü amaçlı şablonlar eklemek için kullanabilir.
Nuclei, Wiz tarafından uyarıldıktan sonra Ağustos 2024’te kusuru düzeltti.
Wiz, yama uygulamasına ek olarak kullanıcıların projelerini korumalı alan veya yüksek oranda izole edilmiş bir ortamda çalıştırmalarını önerdi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, özellikle ulus devlet korsanlarından kaynaklanan, yazılım depolarındaki açık kaynaklı güvenlik açıklarının artan riski konusunda uyarıda bulunan ulusal siber kurumlar arasında yer alıyor.
Güvenlik firması Sonatype tarafından hazırlanan ve 7 milyon açık kaynaklı projeyi analiz eden 2024 raporunda, projelerin 500.000’den fazlasının kötü amaçlı paket içerdiği ortaya çıktı. Saldırılardaki artış nedeniyle CISA, temmuz ayında açık kaynak güvenliğini artırmak için yeni bir çerçeve oluşturacağını duyurdu.