Araştırmacılar, yaygın olarak kullanılan açık kaynaklı bir Zaman Serisi Veritabanı (TSDB) olan OpenTSDB sürüm 2.4.1’de kritik bir güvenlik açığı belirlediler. Benoit Sigoure tarafından geliştirilmiştir.
Amacı, çeşitli bilgisayar sistemlerinden (ağ ekipmanı, işletim sistemleri ve uygulamalar gibi) ölçümleri kolayca yorumlanabilir veri grafiklerinde toplamak, depolamak ve sunmaktır.
OpenTSDB’deki kritik güvenlik açığı, Gnuplot Yapılandırma Dosyası İşleyici bileşeniyle ilgilidir ve Vulmon’un yakın tarihli bir danışma belgesine göre enjeksiyon saldırılarına izin verir.
“Bu güvenlik açığından etkilenen, Gnuplot Yapılandırma Dosyası İşleyici bileşeninin bilinmeyen bir işlevidir. Bilinmeyen bir girdiyle yapılan manipülasyon, bir enjeksiyon güvenlik açığına yol açar” dedi.
Ortak Zayıflık Sayımı (CWE), bu güvenlik açığını CWE-74 olarak kategorize etmiştir.
OpenTSDB’deki kritik güvenlik açığı: Derinlemesine İnceleme
OpenTSDB’deki bu kritik güvenlik açığı, etkilenen sistemler için ciddi sonuçlara yol açabilecek uzaktan kod yürütmeyi gerçekleştirmek için kullanılabilir.
Güvenlik açığı 1 Temmuz 2023’te genel olarak duyurulmuştur ve GHSA-76f7-9v52-v2fw tanımlayıcısı olarak atanmıştır.
İlişkili Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) tanımlayıcısı, 27 Haziran 2023’te atanan CVE-2023-36812’dir.
The Cyber Express tarafından yürütülen ön OSINT ve derin web araştırmaları, herhangi bir kamuya açık istismarın tespit edilmediğini ve güvenlik açığının teknik detaylarının açıklanmadığını gösterdi.
OpenTSDB geliştirme ekibi, 07c4641471c taahhüdünde yamalar yayınlayarak ve fa88d3e4b taahhüdünde bunları daha da iyileştirerek sorunu derhal ele aldı.
Bu yamalar, tüm kullanıcılar için önerilen en son sürüm olan 2.4.2 sürümünde yer almaktadır. 2.4.2 sürümüne yükseltme, güvenlik açığını etkili bir şekilde ortadan kaldırır ve OpenTSDB’nin güvenli çalışmasını sağlar.
Hemen yükseltme yapamayan kullanıcıların kullanabileceği iki geçici çözüm vardır. tsd.core.enable_ui yapılandırma seçeneğini “true” olarak ayarlayarak savunmasız Gnuplot işlevselliğini devre dışı bırakabilirler.
Ek olarak, Vulmon danışma belgesinin önerdiği gibi, mygnuplot.bat ve mygnuplot.sh kabuk dosyalarını OpenTSDB kurulumlarından kaldırmaları gerekir.
The Cyber Express’in daha önce bildirdiğine göre yama yönetimi birçok kuruluşta sorun olmaya devam ediyor.
OpenTSDB’deki güvenlik açığı: Yaygın modeller
Güvenlik sorunu, OpenTSDB’nin bir yukarı akış bileşeninden dışarıdan etkilenen girdi kullanarak bir komut, veri yapısı veya kayıt oluşturmasından kaynaklanır.
Ancak yazılım, girdinin aşağı akış bileşenine ulaştığında nasıl ayrıştırılacağını veya yorumlanacağını değiştirebilecek özel öğeleri uygun şekilde etkisiz hale getirmede başarısız olur.
OpenTSDB 2.4.1’deki bu özel güvenlik açığının daha önce bildirilen bir güvenlik açığı olan CVE-2020-35476’dan farklı olduğunu unutmamak önemlidir.
Daha önceki CVE, sürüm 2.4.0 ile ilgilidir ve burada açıklanan açıklardan yararlanılarak atlanabilir ve OpenTSDB sürüm 2.4.1’de uzaktan kod yürütmenin başarılı bir şekilde gerçekleşmesine izin verir.
Mart ayında Synopsys araştırmacıları, bu güvenlik açığına yetersiz yama uygulanmasının başka bir güvenlik açığı olan CVE-2023-25826 ile sonuçlandığını açıkladı.
OpenTSDB’deki en son Kritik güvenlik açığının keşfi, sorunu derhal OpenTSDB geliştirme ekibine bildiren Oxeye’dan araştırmacılar Gal Goldstein ve Daniel Abeles’e verildi.
OpenTSDB 2.4.1 kullanıcılarının, bu kritik güvenlik açığıyla ilişkili riskleri azaltmak için mümkün olan en kısa sürede 2.4.2 sürümüne yükseltmeleri veya sağlanan geçici çözümleri uygulamaları şiddetle tavsiye edilir.
Yamalı sürüm ve daha fazla ayrıntı, github.com adresindeki OpenTSDB GitHub deposunda bulunabilir.
Mayıs ayındaki Synopsys Siber Güvenlik Araştırma Merkezi (CyRC), OpenTSDB’de iki kritik güvenlik açığı belirledi: bir uzaktan komut yürütme kusuru (CVE-2023-25826) ve bir yansıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı (CVE-2023-25827).
Bu güvenlik sorunları, saldırganların sırasıyla ana bilgisayar sisteminde rasgele komutlar yürütmesine ve hedeflenen kullanıcıların tarayıcılarına kötü amaçlı JavaScript yerleştirmesine izin verebilir.
Araştırmacılar, CVE-2023-25826’nın, eski HTTP sorgu API’sine iletilen parametrelerin eksik doğrulanmasından kaynaklandığını ve hazırlanmış işletim sistemi komutlarının eklenmesini mümkün kıldığını buldu.
Bu güvenlik açığı, CVE-2020-35476 yamasının ardından uygulanan doğrulama önlemlerini atladı.
Girişi kısıtlamak için tasarlanan normal ifade doğrulaması, OpenTSDB ana bilgisayar sisteminde kötü amaçlı kodun yürütülmesine izin vererek düzgün çalışmaz.
Saldırganlar, eski HTTP sorgu API’sinin ‘key’, ‘style’ ve ‘smooth’ parametrelerine hazırlanmış sistem komutları enjekte ederek CVE-2023-25826’dan yararlanabilir.
Raporda, “Bir istek gönderildiğinde, parametreler, dahil edilen komutların yürütüleceği bir grafik oluşturma kabuk betiğine iletilir” dedi.