OpenNMS bakımcıları, yaygın olarak kullanılan açık kaynaklı ağ izleme yazılımının hem topluluk tarafından desteklenen hem de abonelik tabanlı sürümlerinde yüksek önem düzeyine sahip bir güvenlik açığını yamaladı.
XML harici varlık (XXE) enjeksiyon güvenlik açığı, saldırganlara OpenNMS dosya sunucusu sisteminden veri sızdırma, iç ve dış hizmetlere rasgele HTTP istekleri gönderme ve etkilenen sistemlerde hizmet reddi koşullarını tetikleme yolu sağlar.
Cisco, GigaComm ve Diğerleri Tarafından Güvenilen Platform
Synopsys’ten araştırmacılar, güvenlik açığını Haziran ayında keşfettiler ve geçen hafta bir yama yayınlayan OpenNMS’in geliştiricilerine bildirdiler.
Synopsys güvenlik açığı yönetimi mühendisi Ben Ronallo, “CVE-2023-0871, OpenNMS ağ izleme platformunun sırasıyla abonelik tabanlı ve topluluk destekli sürümleri olan Meridian ve Horizon’u etkiliyor” diyor. “Bu platforma Cisco, GigaComm, Savannah River Nuclear Solutions (SRNS) gibi şirketlerin yanı sıra CISA’nın Kritik Altyapı Sektörlerindeki diğerleri tarafından güveniliyor” diye ekliyor.
Kuruluşlar, performans yönetimi, trafik izleme, arıza tespiti ve alarm üretimi dahil olmak üzere çeşitli kullanımlar için yerel ve dağıtılmış ağlarını izlemek için OpenNMS kullanır. Java tabanlı platform, hem fiziksel hem de sanal ağların, uygulamaların, sunucuların, iş performansı göstergelerinin ve özel ölçümlerin izlenmesini destekler.
OpenNMS Horizon’un ücretsiz sürümü, abonelik tabanlı OpenNMS Meridian sürümüyle aynı özelliklerin çoğunu içeren topluluk odaklı bir projedir. Ancak, abonelik sürümüyle sağlanan destek ve daha kolay sürüm ve güncelleme döngülerinden yoksundur.
İzin Veren XML Ayrıştırıcı
Synopsys’e göre, CVE-2023-0871, ayrıştırıcıyı XML harici varlık saldırılarına eğilimli hale getiren izin verici bir XML ayrıştırıcı yapılandırmasından kaynaklanmaktadır. Örneğin, harici dosyalara ve URL’lere XML içinde başvurulmasına izin veriyorsa, bir XML ayrıştırıcı yapılandırmasına izin verilir. Synopsys tarafından keşfedilenler gibi XXE güvenlik açıkları, bir saldırganın bir uygulamanın XML verilerini işlemesine temelde müdahale etmesine olanak tanır.
Ronallo, “CVE-2023-0871, Gerçek Zamanlı Konsol (RTC) REST API’si için varsayılan kimlik bilgilerinden yararlanan bir XXE enjeksiyon saldırısıdır” diyor. “Bu saldırı, verilerin nasıl işlendiğini tahmin ederek güvenilir XML verilerini değiştirir.” Bu, bir saldırganın potansiyel olarak diğer fiziksel ve/veya sanal sistemleri tehlikeye atmasına, savunmasız uygulamayı çalıştıran sistemdeki dosyaları görüntülemesine veya Sunucu Tarafı İstek Sahtekarlığı (SSRF) aracılığıyla diğer sistemlere HTTP istekleri yapmasına olanak tanır.
OpenNMS projesi, güvenlik açığının birden çok platformda OpenNMS Horizon 31.0.8 ve 32.0.2’den önceki sürümleri etkilediğini açıkladı. Projenin sahipleri, yazılımın etkilenen sürümlerini kullanan kuruluşları Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 veya Horizon 32.0.2 veya daha yenisine güncellemeye çağırdı. Uyarı, kuruluşlara OpenNMS’yi İnternet üzerinden doğrudan erişilebilir hale getirmemeleri ve yalnızca bir kuruluşun dahili ağında kurulup kullanıldığından emin olmaları gerektiğini hatırlattı.
Ronallo, “Platform kullanıcılarının OpenNMS’nin yalnızca özel ağlar içinde kurulum yapma tavsiyesine uyduğu varsayılırsa, bu saldırının başarılı olma olasılığı kötü niyetli içerideki kişilere indirgenir,” diyor. Bu, güvenliği ihlal edilmiş bir kullanıcıyı veya hoşnutsuz bir çalışanı içerebilir. “Ancak, başarılı bir şekilde yararlanılırsa, bu güvenlik açığı sistemin tehlikeye girmesine neden olabilir.”
CVE-2023-0871, araştırmacıların bu yıl şimdiye kadar OpenNMS’de ortaya çıkardığı birkaç güvenlik açığından biridir. Bunlardan daha ciddi olanları arasında CVSS puanı 8,1 olan ve OpenNMS Horizon ve Meridian’ın birden çok sürümünde bulunan siteler arası istek sahteciliği sorunu olan CVE-2023-0870 ve kimliği doğrulanmamış, siteler arası CVE-2023-0846 yer alır. her iki OpenNMS sürümünde de komut dosyası güvenlik açığı.