Sitevision CMS’de önemli bir güvenlik açığı, 10.3.1 ve önceki sürümler tanımlanmıştır ve saldırganların SAML kimlik doğrulama isteklerini imzalamak için kullanılan özel anahtarları çıkarmasına izin verir.
CVE-2022-35202 olarak izlenen kusur, WebDAV aracılığıyla erişilebilen ve otomatik olarak üretilen, düşük karmaşık bir şifre ile korunan bir Java anahtar deposunun kullanımından kaynaklanmaktadır.
Bu güvenlik açığı potansiyel olarak saldırganların belirli konfigürasyonlarda kimlik doğrulama süreçlerini tehlikeye atmasını sağlayabilir.
Güvenlik açığının keşfi
Bir siteVision sitesindeki bir WebDav örneği, adlı bir dosyayı ortaya çıkardığında sorun ortaya çıktı. saml-keystore.
Bu dosya, SAML kimlik doğrulaması için hem genel hem de özel anahtarlara sahip bir Java anahtar deposu içeriyordu.
Anahtar deposu şifre korumalı olsa da, şifre, sekiz karakter uzunluğunda küçük harfler ve rakamlarla sınırlı zayıf karmaşıklık ile otomatik olarak oluşturuldu.
Brute Force saldırıları için parola karma ve hashcat’i çıkarmak için jksprivkprepare.jar gibi araçları kullanan araştırmacılar, parolayı saatler içinde başarıyla kırdılar.
Sömürü ve etki
Çıkarılan özel anahtar teorik olarak SAML kimlik doğrulama isteklerini imzalamak için kullanılabilir.
Bununla birlikte, daha fazla analiz, bu anahtarların özellikle servis sağlayıcıları (SP) ve kimlik sağlayıcıları (IDP) arasındaki SAML akışını başlatan SAML Authn isteklerini imzalamak için kullanıldığını ortaya koymuştur.
Güvenlik açığının etkisi, IDP’nin önceden yapılandırılmış meta veriler üzerinde imzalanmış Authn isteklerine öncelik verip gelmediğine bağlıdır.
Bu kusurdan yararlanan bir saldırgan, AssertionConsumerServiceURL Kimlik doğrulama belirteçlerini kötü amaçlı bir uç noktaya yönlendirmek için Authn isteğinde öznitelik.
Shelltrail’e göre, bu belirli koşullar altında kimliği doğrulanmış kullanıcı oturumlarına yetkisiz erişim sağlayabilir.
SiteVision, otomatik oluşturulan şifreler için daha güçlü şifre karmaşıklığı uygulayarak 10.3.2 sürümündeki güvenlik açığını ele aldı.
Ancak, yöneticiler yükselttikten sonra parolaları manuel olarak döndürmedikçe mevcut kurulumlar savunmasız kalır.
Maruz kalması saml-keystore Dosya ayrıca, SiteVision dağıtımları arasında varsayılan olmayan ancak yaygın olan belirli WebDAV yapılandırmalarına bağlıdır.
Güvenlik açığı, Mayıs 2022’de araştırmacı Andreas Vikerup tarafından sorumlu bir şekilde açıklandı.
Sitevision derhal bir yama yayınladı ve devlet kurumları da dahil olmak üzere CMS’lerine dayanan hizmetlerin kritik doğası nedeniyle İsveç’in Ulusal Cert ekibi (CERT-SE) ile koordine ederken etkilenen müşterileri bilgilendirdi.
Bu olay, zayıf şifre politikaları ve yaygın olarak kullanılan sistemlerde uygunsuz yapılandırma risklerini vurgulamaktadır.
SiteVision CMS kullanan kuruluşların, 10.3.2 veya daha sonraki sürümlere yükseltme ve hassas anahtar depoları için şifreleri döndürürken WebDAV erişim kontrollerinin uygun şekilde yapılandırılmasını sağlamaları istenir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here