Ben Dickson 11 Kasım 2022, 11:31 UTC
Güncelleme: 11 Kasım 2022, 16:51 UTC
Web barındırma yönetici aracının programlama arayüzlerindeki hatalar yamalı
Plesk’in REST API’si, kötü amaçlı dosya yükleme ve sunucunun ele geçirilmesi dahil olmak üzere birden çok olası saldırıya yol açabilecek istemci tarafı istek sahteciliğine (CSRF) karşı savunmasızdı.
Plesk, web barındırma ve veri merkezi sağlayıcıları için çok popüler bir yönetim aracıdır. Kullanıcılar, web sitelerini ve dosya sunucularını yönetmek için genellikle web arayüzünü kullanır. Bu arayüz kapsamlı bir şekilde test edilmiş ve güvenlik açıklarına karşı yamalanmıştır.
Ancak, Fortbridge’de bir güvenlik araştırmacısı olan Adrian Tiron’un bulgularına göre, üçüncü taraf programların Plesk’in işlevlerine erişmesine izin veren REST API, web kullanıcı arayüzü karşılığı kadar sağlam değildi.
İstemci tarafı istek sahtekarlığı
Tiron, müşterilerinden biri için bir proje sırasında Plesk’i araştırırken, oturum açmış bir yöneticinin tarayıcısından REST API çağrıldığında, CSRF’ye karşı hiçbir savunma olmadığını keşfetti. Bu eksiklik, bir saldırganın Plesk yöneticisini kötü niyetli bir sayfayı ziyaret etmesi için cezbederse, sunucuya karşı çerezsiz CSRF saldırıları düzenleyebileceği anlamına geliyordu.
En son güvenlik araştırma haberlerini ve analizlerini yakalayın
Çerezsiz CSRF istismarı yoluyla birkaç API uç noktasına saldırılabilir. En ilginç olanı, dedi Tiron, yöneticinin parolasını değiştirmek de dahil olmak üzere farklı komutları destekleyen bir uç noktaydı. Bu uç noktayı kullanarak araştırmacı, yönetici kullanıcı hesabını ele geçirmeyi ve ana bilgisayarın tam kontrolünü ele geçirmeyi başardı.
“Plesk’te yönetici erişimi çok güçlü. Köke sahip olmakla aynı [access] çünkü Plesk, ana bilgisayarları web arayüzü üzerinden tam olarak yönetmek için kullanılıyor, “dedi Tiron Günlük Swig.
Diğer küçük hatalar
Diğer uç noktalardan, Plesk sunucusunda MySQL ve FTP kullanıcılarının oluşturulmasına izin veren açıklar dahil olmak üzere diğer CSRF saldırıları yoluyla yararlanılabilir.
MySQL bağlantı noktası varsayılan olarak harici olarak engellendiğinden, bir veritabanı kullanıcısı eklemenin sınırlı bir etkisi olacaktır.
“Ancak, eğer [MySQL] yanlış yapılandırılmış, RCE verebilir [remote code execution] sunucuda sınırlı bir kullanıcı olarak – bunun nadir bir senaryo olacağını tahmin ediyoruz, “dedi Tiron.
FTP kullanıcısı, saldırgana “Sınırlı bir kullanıcı olarak (en azından) RCE verecek çünkü saldırgan bir web kabuğu yükleyebiliyor” diye ekledi.
Ne yanlış gitti?
Plesk’in web arayüzü, yönetim aracının sayfalarına kimliği doğrulanmamış erişimi engelleyen Yetkilendirme başlığını kullanır. Bir kullanıcı kimlik bilgilerini girdiğinde, tarayıcı isteklere otomatik olarak uygun başlıkları ekleyerek sunucunun kimliği doğrulanmış kullanıcıları ayırt etmesini sağlar.
Yetkilendirme üstbilgileri, REST API uç noktalarına kimliği doğrulanmamış rastgele erişimi de engelledi. Ancak tüm bunlar, HTML tabanlı CSRF saldırıları yoluyla potansiyel olarak atlatılabilir.
Tiron, “Geliştiriciler, Yetkilendirme başlığını kullandıkları için muhtemelen CSRF’ye karşı korunduklarını düşündüler” dedi. “Bu, XHR ile oluşturulan istekler için doğru olsa da (saldırganın isteğe eklemek için bu başlığı bilmesi gerekir), HTML formları kullanıyorsanız bu doğru değildir – bu durumda, tarayıcı Yetkilendirme başlığını otomatik olarak ekler , tasarım gereği.”
Plesk hatayı düzeltti. Şirkete göre, Plesk sunucularının %98,4’ü otomatik olarak güncellendi ve bu nedenle etkilenmedi.
Tiron, geliştiricilerin sunucu durumunu değiştiren tüm POST isteklerinin, eşzamanlayıcı belirteç deseni veya çift gönderme tanımlama bilgisi deseni kullanarak CSRF azaltma uyguladığından emin olmalarını önerdi. Tiron, “Deneyimlerimize dayanarak ilkini öneriyoruz,” diyerek sözlerini tamamladı.
Rsevinçli Prototip kirlilik hatası Ember.js uygulamalarını XSS’ye maruz bıraktı