AssetNote’deki araştırmacılar, Sawtooth yazılımı tarafından geliştirilen yaygın olarak kullanılan bir anket yazılımı olan Lighthouse Studio’da kritik bir uzaktan kod yürütme (RCE) güvenlik açığı ortaya çıkardılar.
Web tabanlı anket bileşenini güçlendiren Perl CGI komut dosyalarını etkileyen bu kusur, kimlik doğrulanmamış saldırganların sadece bir anket bağlantısına erişerek sunucuları barındırma konusunda keyfi kod yürütmesini sağlar.
Popüler anket yazılımında güvenlik açığı maruz kaldı
Yazılımın, anketlerin genellikle pop-up’lar veya e-postalar yoluyla kullanıcı girdisini talep ettiği kurumsal ortamlardaki yaygınlığı göz önüne alındığında, kuruluşlar otomatik güncel mekanizmalar olmadan birden fazla eski örneği barındırabilir ve saldırı yüzeyini sunucu başına onlarca veya yüzlerce komut dosyası kopyasına yükseltebilir.
Lighthouse Studio, anket oluşturma için Windows tabanlı bir masaüstü uygulamasından ve web sunucularında dağıtılan Perl CGI komut dosyaları, tipik olarak Mod_CGI ile Linux Apache kurulumlarından oluşur.
Güvenlik açığı, komut dosyalarında, özellikle HID_RANDOM_ACARAT parametresi gibi kullanıcı girişlerini işleyen CIWWeb.pl giriş noktasında güvensiz bir şablon motorundan kaynaklanır.
Saldırganlar, özel olarak hazırlanmış URL parametreleri aracılığıyla Perl kodunu enjekte edebilir ve içine alınan içeriği yorumlayan bir değerlendirme lavaboundan yararlanabilir. [% … %] yürütülebilir kod olarak.
Örneğin, ekleme? HID_RANDOM_ACARAT =[%ls%] Bir anket URL’sine, HTML oluşturma sırasında yetersiz dezenfektan nedeniyle listeleme dizin içeriği gibi komut yürütmeyi tetikler.
Bunun nedeni, kullanıcı ikamelerinin şablon değerlendirmesinden önce gelmesi ve enjekte edilen yüklerin kontrol işlevine kontrol edilmemesine izin vermesi nedeniyle gerçekleşir.
Uzaktan Kod Yürütme İstismarı
Bu sorunu ortaya çıkarmak için, AssetNote’un ekibi, serbestçe mevcut olan Lighthouse Studio Installer’dan minikleştirilmiş perl komut dosyalarını tersine çevreledi.
Perl :: Biçimlendirme için Tidy ve Google Gemini gibi araçları kullanarak, form girişlerini temsil eden _FUV gibi gizlenmiş öğeleri haritaladılar ve _FOP altyordamının şablon mantığını tanımladılar, bu da değerlendirme için _FOQ’ya aktardı.
İlk istismarlar daha yeni sürümlerde başarılı olurken, eski şubeler (örneğin, 9.15.x), dönüşüm gibi enjeksiyonları bozmak için boşluklar ekledi [% to [ %.
Researchers bypassed this by exploiting Perl’s handling of array references: supplying the parameter twice (e.g., hid_Random_ACARAT=[%257*7%25]& HID_RANDOM_ACARAT = X) Dizi Ref S /// operasyonlarını yok saydığından, sürümler arasında güvenilir bir RCE sağladığı için ikame Regexes’i atlar.
Hatanın kalıcılığı, yazılımın dağıtım modeli tarafından daha da kötüleşir, burada komut dosyaları güncellemeler olmadan anketler arasında manuel olarak kopyalanır ve eski kurulumları savunmasız bırakır.
AssetNote, 9 Nisan 2025’te Kusur’u bildirdi ve CVE-2025-34300 atanan 9.16.14 sürümünde bir yamaya yol açtı.
Etkilenen kullanıcılara hemen güncelleme yapmaları istenir, çünkü sömürü kimlik doğrulaması gerektirmez ve veri söndürme veya daha fazla ağ pivotu da dahil olmak üzere tam sunucu uzlaşmasına yol açabilir.
Bu keşif, minifiye kod ve değerlendirme tabanlı şablonun gizli lavabolar oluşturduğu eski CGI uygulamalarındaki risklerin altını çizmektedir.
AssetNote, bu tür araştırmaları saldırı yüzey yönetimi platformuna entegre ederek sömürülebilir maruziyetlerin proaktif algılanmasını sağlıyor.
Lighthouse Studio’ya güvenen kuruluşlar, web sunucularını eski CGI-bin dizinleri için denetlemeli ve bu yüksek şiddetli tehdidi azaltmak için düzeltmeyi uygulamalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now