LRQA’daki güvenlik araştırmacıları, daha önce Altiris olarak bilinen Broadcom’un Symantec uç nokta yönetimi paketinde, kötü saldırganların savunmasız sistemlerde keyfi kod yürütmesine izin verebilecek kritik bir uzaktan kod yürütme (RCE) güvenlik açığını ortaya çıkardılar.
CVE-2025-5333 atanan kusur, yaygın olarak kullanılan kurumsal uç nokta yönetim platformunun birden fazla versiyonunu etkiler ve kritik bir CVSS puanı 9.5 ile derecelendirilmiştir.
Güvenlik Açığı Genel Bakış
Güvenlik açığı, tcp: // adresinden erişilebilen Symantec Altiris Envanter Kural Yönetimi (IRM) bileşeninde açık bir miras.
Bu uç noktaya ağ üzerinden ulaşılabilir olduğunda, saldırganların .NET nesnelerinin güvensiz sazelleştirilmesini kullanmalarını sağlar ve kimlik doğrulaması gerekmeden tam sistem uzlaşmasına yol açar.
| CVE Detayları | Bilgi |
| CVE kimliği | CVE-2025-5333 |
| Şiddet | Eleştirel |
| CVSS v4.0 skoru | 9.5 |
| CVSS vektörü | CVSS: 4.0/AV: N/AC: H/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: H/SI: H/SA: H |
| Etkilenen ürün | Broadcom Symantec Endpoint Management Suite (Altiris) |
| Etkilenen sürümler | 8.6.x, 8.7.x, 8.8 |
Güvenlik araştırmacıları sertleşmiş bir iş istasyonuna eriştikleri ve keşif faaliyetlerine başladığında, yakın tarihli bir kırmızı ekip katılımı sırasında kırılganlık keşfedildi.
Çalışma süreçlerini incelerken, Symantec uç noktası yönetimi hizmetlerini belirlediler ve altyapıyı potansiyel bir ayrıcalık artış ve yanal hareket vektörü olarak araştırmaya karar verdiler.
Dinleme ağı hizmetlerini numaralandırmak için PowerShell’i kullanan araştırmacılar, 4011’in 0,0.0.0’a bağlı olduğunu ve küresel erişilebilirliği gösteren 0.0.0.0’a bağlı buldular.
Bir .NET hata ayıklayıcı ve montaj editörü olan DNSPY’yi kullanarak daha fazla araştırma, uygulamanın Legacy .NET Remotating’in varlığını gösteren RemotingConfiguration.regownwellServiceType kullandığını ortaya koydu.
Ayrıştırılmış kod, uygulamanın, TypeFilterTlevel Full olarak ayarlanmış BinaryServerformatterSinkProvider kullandığını gösterdi, sınırsız nesne sazizleşmesini sağladığı için güvensiz olduğu bilinen bir yapılandırma.
Bu güvenlik açığı sınıfı başlangıçta 2014 yılında James Forshaw tarafından araştırıldı ve .NET uzaktan hizmetleri için iyi belgelenmiş bir saldırı vektörünü temsil ediyor.
Araştırmacılar, Forshaw’ın ExploitremotingService aracını kullanarak güvenlik açığını doğruladılar, komutları başarıyla yürüttüler ve dizin içeriğini hedef sistemden uzaktan alırlar.
Koordineli ifşa prosedürlerinin ardından LRQA, Broadcom’un Ürün Güvenliği Olay Müdahale Ekibine (PSIR) güvenlik açığını bildirdi. Broadcom derhal ve profesyonel olarak cevap verdi, konuyu doğruladı ve hafifletme rehberliği sağladı.
Birincil azaltma, resmi belgelerin bu bağlantı noktasının açılmasını gerektirmediğinden, 4011’in bağlantı noktasının kapatılmasını gerektirir.
Ek olarak, yöneticiler IRM_HOSTEDServiceURL ayarını boş kalacak şekilde yapılandırabilir ve .NET’i yalnızca Localhost’a erişimi geri döndürür.
Broadcom, gelecekteki ürün sürümlerinin, IRM/barındırılanService bileşeni için .NET Remoting’in kullanımını sınırlamak ve güvence altına almak için gelişmiş güvenlik önlemlerini içereceğini ve bu potansiyel olarak tehlikeli son noktaya uzaktan erişimi önleyeceğini belirtti.
Etkilenen sürümleri kullanan kuruluşlar, güvenlik duvarı yapılandırmalarını derhal gözden geçirmeli ve bu kritik güvenlik açığının kullanılmasını önlemek için önerilen azaltmaları uygulamalıdır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.