Perl modüllerini indirmek ve yüklemek için yaygın olarak kullanılan bir araç olan App::cpanminus’ta (cpanm) kritik bir güvenlik açığı tespit edildi.
Bu güvenlik açığı, CVE-2024-45321, kullanıcıları olası siber tehditlere maruz bırakır. Saldırganların modül kurulumu sırasında trafiği kesmesine ve manipüle etmesine olanak tanır.
CVE-2024-45321 – Güvenlik Açığı Ayrıntıları
Perl modül kurulumlarını hafif ve etkili bir şekilde yönetmesiyle bilinen App::cpanminus, varsayılan olarak daha güvenli HTTPS protokolü yerine HTTP kullanacak şekilde yapılandırılmıştır.
Bu gözetim, ağ saldırganlarının keyfi kod yürütmek için yararlanabileceği CWE-494: Bütünlük Kontrolü Olmayan Kod İndirme zayıflığına yol açar.
HTTP iletişimlerinde şifreleme eksikliği, saldırganların iletilen verileri ele geçirip değiştirebileceği anlamına gelir ve bu da modül kurulumları için cpanminus’a güvenen kullanıcılar için ciddi bir risk oluşturur.
Azaltma önlemleri
Şu anda cpanminus geliştiricilerinden resmi bir yama mevcut değil.
Ancak kullanıcılar sistemlerini korumak için çeşitli azaltma stratejileri uygulayabilirler:
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Seçenek 1: HTTPS Yansıtıcısı Ayarla
Kullanıcılar cpanminus’u güvenli bir HTTPS yansıması kullanacak şekilde yapılandırabilir. Bu, –from komut satırı argümanı kullanılarak yapılabilir:
$ cpanm --from https://www.cpan.org DISTNAMEAlternatif olarak, kullanıcılar tüm kurulumların HTTPS kullanmasını sağlamak için PERL_CPANM_OPT ortam değişkenini ayarlayabilir:
$ export PERL_CPANM_OPT="--from https://www.cpan.org"Bu seçeneğin kullanılmasının, BackPan’dan eski sürümleri ve geliştirme (DENEME) sürümlerini indirme olanağını devre dışı bırakacağını unutmamak önemlidir.
Seçenek 2: cpanm Yürütülebilir Dosyasını Yamalayın
cpanm yürütülebilir dosyasını yamalamak, BackPan ve TRIAL sürümlerine yönelik desteği sürdürmesi gereken kullanıcılar için bir seçenektir.
Bu, aşağıdaki Perl tek satırlık koduyla gerçekleştirilebilir:
$ perl -pi -E 's{http://(www\.cpan\.org|backpan\.perl\.org|cpan\.metacpan\.org|fastapi\.metacpan\.org|cpanmetadb\.plackperl\.org)}{https://$1}g' /path/to/cpanmSeçenek 3: Alternatif Bir İstemci Kullanın
Kullanıcılar ayrıca güvenli modül kurulumları sunan CPAN.pm (sürüm 2.35 veya üzeri) veya App::cpm gibi varsayılan olarak HTTPS kullanan alternatif istemcilere geçmeyi de düşünebilirler.
Perl topluluğu ve geliştiricileri bu konuyu GitHub gibi platformlarda aktif olarak tartışıyorlar.
Tartışmalar, cpanminus’un varsayılan olarak güvenli hale getirilmesi ve benzer güvenlik açıklarının önlenmesi için uzun vadeli çözümlerin araştırılması üzerine yoğunlaşıyor.
Bu güvenlik açığı, yazılım kurulumlarında güvenli iletişimin kritik önemini vurgulamaktadır. Kullanıcıların sistemlerini olası tehditlerden korumak için bu hafifletmeleri derhal uygulamaları tavsiye edilmektedir.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial