Solarwinds Web Yardım Masasında keşfedilen, şifreli şifreleri ve diğer hassas verileri ortaya çıkaran önemli bir güvenlik açığı için bir kavram kanıtı (POC) yayınlandı.
Bu güvenlik açığı, uygulamada kullanılan öngörülebilir şifreleme anahtarlarından ve yaygın olarak saygın bir kriptografik standart olan AES-GCM şifrelemesinin kötüye kullanılmasından kaynaklanmaktadır.
Sorun, yazılım geliştirmede güvenli anahtar yönetim ve uygun şifreleme uygulamalarının önemini vurgulamaktadır.
AES-GCM (Galois/Counter modu), hem gizlilik hem de bütünlük sağlayan kimlik doğrulamalı bir şifreleme modudur. Bununla birlikte, her şifreleme işlemi için benzersiz olmayanlar (başlatma vektörleri) gerektirir.
Aynı anahtar ve nonce yeniden kullanılırsa, bir saldırgan şifreleme tuş akışını kurtarmak ve anahtarı bilmeden diğer şifrelemeleri şifresini çözmek için bunu kullanabilir.
Solarwinds Web Yardım Masasında Güvenlik Açığı
NETSPI raporuna göre, güvenlik açığı, veritabanı bağlantı şifreleri, LDAP sorgu şifreleri ve SMTP e-posta şifreleri gibi hassas verileri güvence altına almak için AES-GCM şifrelemesini kullanan Web Yardım Masası kullanıcılarını etkiler. Sorun iki yönlü:
- Tahmin edilebilir şifreleme anahtarları: Web Yardım Masası tarafından kullanılan şifreleme anahtarlarının kurtarılması nispeten kolaydır. Varsayılan anahtar uygulamanın kaynak koduna gömülüdür ve yazılımı ayrıştırarak erişilebilir. Ek tuşlar veritabanı verilerinden ve kaynak kodundan türetilmiştir, ancak bu dönüşümler küçük bir anahtar alanı nedeniyle çok az güvenlik sunar.
- Anahtar ve nonce’nin yeniden kullanılması: Uygulama genellikle birden çok şifreleme işleminde anahtarları ve nonces’i yeniden kullanır. AES-GCM’nin bu kötüye kullanımı, saldırganların bilinen düz metin saldırıları yoluyla tuş akışını kurtarmasına izin vererek aynı anahtar ve nonce ile şifrelenmiş herhangi bir şifreleme metnini şifresini çözmelerine olanak tanır.
Sömürü örneği
Bir durumda, tuş akışını XOR aracılığıyla hesaplamak için bilinen bir şifre metni ve düz metin çifti kullanıldı.
Bu tuş akışı daha sonra düz metnini almak için bilinmeyen bir şifre metnine uygulandı ve bir saldırganın bu güvenlik açığını ne kadar kolay kullanabileceğini gösterdi.
# Simplified Python code to demonstrate keystream recovery and decryption
def xor_keystream(plaintext, ciphertext):
keystream = bytearray()
for p, c in zip(plaintext, ciphertext):
keystream.append(p ^ c)
return keystream
# Known plaintext and ciphertext pair
known_plaintext = b'\x00\x00\x00\x09Password1'
known_ciphertext = b'frcLMeS3nchpg_Ucxz-evzlfNUlfHLnpvKyjAYisVLmlEtyZ2ZFRRiVw7Kd5KQbR'
keystream = xor_keystream(known_plaintext, known_ciphertext)
# Use keystream to decrypt unknown ciphertext
unknown_ciphertext = b'your_unknown_ciphertext_here'
unknown_plaintext = bytearray()
for uc, ks in zip(unknown_ciphertext, keystream):
unknown_plaintext.append(uc ^ ks)
print("Unknown Plaintext:", unknown_plaintext.decode('utf-8'))Öneriler ve Etki
Bu güvenlik açığını azaltmak için, kullanıcıların web yardım masası yazılımlarını en son sürüme yükseltmeleri çok önemlidir.
Ayrıca, hassas veriler içeren yedekleme dosyaları, yalnızca gerekli personel ile sınırlı erişim ile güvence altına alınmalıdır.
Bu kırılganlığın keşfi, güçlü anahtar yönetim uygulamalarına olan ihtiyacı ve yazılım geliştirmede şifreleme standartlarına bağlılığın olduğunu vurgulamaktadır.
Sonuç olarak, POC’nin Solarwinds Web Yardım Masası güvenlik açığı için piyasaya sürülmesi, güvenli kodlama uygulamalarının önemini ve güvenlik açıklarının sorumlu olarak ifşa edilmesinin bir hatırlatıcısı olarak işlev görür.
Yazılım, hassas verilerin yönetilmesinde merkezi bir rol oynamaya devam ettikçe, şifrelemenin doğru bir şekilde uygulanmasını sağlamak, kullanıcı gizliliğini korumak ve veri ihlallerini önlemek için giderek daha kritik hale gelecektir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.