Güvenlik araştırmacıları, Radware’in Cloud Web Uygulaması Güvenlik Duvarı’nda (WAF), saldırganların güvenlik filtrelerini tamamen atlamasına izin verebilecek ve potansiyel olarak temel web uygulamalarını çeşitli saldırılara maruz bırakabilecek kritik güvenlik açıklarını ortaya çıkardılar.
CVE-2024-56523 ve CVE-2024-56524 olarak izlenen güvenlik açıkları, 7 Mayıs 2025’te CERT/CC tarafından herkese açık olarak açıklandı ve bu güvenlik çözümüne dayanan kuruluşlar için önemli endişeler yarattı.
Radware Cloud Web Uygulaması Güvenlik Duvarı Güvenlik Açığı
Araştırmacılar, Radware’in bulut WAF korumalarını atlatmak için iki farklı yöntem keşfettiler. İlk güvenlik açığı (CVE-2024-56523), istek gövdesinde rastgele veri içeren özel hazırlanmış HTTP GET isteklerinin gönderilmesini içerir.
.png
)
Bu özel bir şekilde biçimlendirildiğinde, WAF isteği düzgün bir şekilde filtreleyemez ve potansiyel olarak kötü niyetli içeriğin korunan uygulamaya ulaşmasına izin verir.
İkinci güvenlik açığı (CVE-2024-56524), özel karakterleri işlerken kullanıcı tarafından sağlanan girişin yetersiz bir doğrulamasını kullanır. İsteklere belirli özel karakterler ekleyerek, saldırganlar güvenlik duvarının filtreleme işlevini başarısızlığa uğratmasına neden olabilir, bu da çeşitli yüklerin güvenlik kontrollerini atlamasına ve temel web uygulamasına ulaşmasına izin verebilir.
Konuya aşina olan güvenlik uzmanları, “Bu, yalnızca WAF teknolojisine dayanan kuruluşlar için uygulama güvenlik duruşları için önemli bir güvenlik sorununu temsil ediyor” dedi.
Vuldb, güvenlik açığını kritik olarak CVSS meta-sıcaklık skoru ile 5.3 ile sınıflandırmıştır, bu da orta şiddetli ancak kayda değer bir riski gösterir. En önemlisi, bu güvenlik açıkları hakkında bilgi sahibi olan saldırganların, normalde WAF tarafından engellenecek web uygulamalarına kötü niyetli girdiler sunabilmesidir.
Güvenlik uzmanları, WAF’lerin trafiği engelleyerek, filtreleyerek ve izleyerek çok sayıda web tabanlı tehdide karşı kritik bir savunma görevi gördüklerini vurgulamaktadır.
Birincil amaçları, yetkisiz veri maruziyetini önleyerek veri ihlal riskini azaltmaktır. Bu baypas teknikleri potansiyel olarak bu temel güvenlik katmanını zayıflatır.
CERT/CC’ye göre, güvenlik açıkları son güncellemelerde düzeltilmiş gibi görünmektedir. Bununla birlikte, açıklama tarihi itibariyle Radware’in güvenlik araştırmacısı Oriol Gegundez başlangıçta bunları bildirdiğinde bulguları kabul etmediği bildiriliyor.
Japon Güvenlik Yayın Güvenliği Daha sonra, CERT/CC’nin sorunların yamalanabileceğini göstermesine rağmen, güvenlik açıkları hakkında ayrıntılı bilgilerin satıcı yanıtının olmaması nedeniyle sınırlı kaldığını bildirmiştir.
Siber güvenlik uzmanları, Radware Cloud WAF kullanan kuruluşların, ürünün en son sürümünü çalıştırdıklarından ve derinlemesine savunma stratejisinin bir parçası olarak ek güvenlik katmanlarını uygulamalarını önermelerini önerir.
Oriol Gegundez başlangıçta güvenlik açıklarını bildirdi ve Kevin Stephens ve Ben Koo güvenlik danışma belgelerini hazırladı.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir