Progress Software, müşterilerini, savunmasız cihazları tehlikeye atmak için kullanılabilen Telerik Rapor Sunucusu’ndaki kritik bir uzaktan kod yürütme güvenlik açığını düzeltmeleri konusunda uyardı.
Sunucu tabanlı bir raporlama platformu olan Telerik Report Server, raporlar için merkezi bir depolama alanı ve bunları kuruluş genelinde oluşturmak, dağıtmak, sunmak ve yönetmek için gereken araçları sağlar.
CVE-2024-6327 olarak izlenen güvenlik açığı, saldırganların yama uygulanmamış sunucularda uzaktan kod yürütme elde etmek için yararlanabileceği güvenilmeyen verilerin seri hale getirilmesi zayıflığından kaynaklanıyor.
Bu güvenlik açığı Report Server 2024 Q2 (10.1.24.514) ve önceki sürümleri etkiliyor ve 2024 Q2 (10.1.24.709) sürümünde yamalandı.
“Bu açığı ortadan kaldırmanın tek yolu Report Server 2024 Q2 (10.1.24.709) veya sonrasına güncelleme yapmaktır,” diye uyardı iş yazılımı üreticisi Çarşamba günü yaptığı bir duyuruda. “Progress Telerik ekibi en son sürüme yükseltme yapmanızı şiddetle öneriyor.”
Yöneticiler, sunucularının saldırılara karşı savunmasız olup olmadığını şu adımları izleyerek kontrol edebilirler:
- Rapor Sunucunuzun web kullanıcı arayüzüne gidin ve yönetici haklarına sahip bir hesap kullanarak oturum açın
- Yapılandırma sayfasını açın (~/Configuration/Index).
- Hakkında sekmesini seçin ve sürüm numarası sağdaki bölmede görüntülenecektir.
İlerleme ayrıca cihazlarını en son sürüme hemen yükseltemeyenler için geçici azaltma önlemleri de sağlıyor.
Bu, Report Server Application Pool kullanıcısını sınırlı izinlere sahip bir kullanıcıyla değiştirmeyi gerektirir. IIS kullanıcıları oluşturma ve Uygulama Havuzu atama prosedürü olmayanlar bu Progress destek belgesindeki bilgileri takip edebilir.
Eski Telerik kusurları saldırı altında
Progress, CVE-2024-6327’nin gerçek hayatta istismar edilip edilmediğini henüz paylaşmasa da son yıllarda Telerik’in diğer güvenlik açıkları da saldırı altındaydı.
Örneğin 2022 yılında bir ABD federal kurumunun Microsoft Internet Information Services (IIS) web sunucusu, FBI’ın en çok hedef alınan güvenlik açıkları listesinde ve NSA’nın Çinli bilgisayar korsanları tarafından en çok kötüye kullanılan 25 güvenlik açığı arasında yer alan CVE-2019-18935 kritik Progress Telerik UI güvenlik açığından yararlanılarak hacklendi.
CISA, FBI ve MS-ISAC’ın ortak bildirisine göre, en az iki tehdit grubu (bunlardan biri de Vietnamlı XE Grubu) güvenlik açığı bulunan sunucuya erişim sağladı.
Saldırı sırasında, Kasım 2022 ile Ocak 2023 başı arasında, ihlal edilen ağa erişimi sürdürürken birden fazla kötü amaçlı yazılım yükü dağıttılar ve bilgi toplayıp sızdırdılar.
Daha yakın zamanda, güvenlik araştırmacıları, kritik bir kimlik doğrulama atlama açığı (CVE-2024-4358) ve yüksek şiddetli bir RCE’yi (CVE-2024-1800) zincirleyerek Telerik Report sunucularında uzaktan kod yürütmeyi hedefleyen bir kavram kanıtı (PoC) istismarı geliştirdi ve yayınladı.
