Computest Sector 7’den güvenlik araştırmacıları Daan Keuper, Thijs Alkemade ve Khaled Nassar, iXsystems tarafından geliştirilen, yaygın olarak kullanılan açık kaynaklı depolama işletim sistemi TrueNAS CORE’da kritik bir güvenlik açığını ortaya çıkardı.
CVE-2024-11944 adlı güvenlik açığı, ağa bitişik saldırganların, kimlik doğrulama gerektirmeden etkilenen kurulumlarda rastgele kod yürütmesine olanak tanıyor.
Bu keşif ünlü siber güvenlik yarışması Pwn2Own sırasında sunuldu.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Güvenlik Açığı Ayrıntıları
Kusur, TrueNAS CORE tarafından kullanılan tarfile.extractall yönteminde bulunuyor. Kullanıcı tarafından sağlanan yolların hatalı şekilde doğrulanması, saldırganların bu dizin geçiş güvenlik açığından yararlanmasına olanak tanır.
Saldırgan, kötü amaçlı bir veri yükü oluşturarak istenmeyen dosya işlemleri gerçekleştirebilir ve bu da potansiyel olarak kök ayrıcalıklarıyla uzaktan kod yürütülmesine (RCE) yol açabilir.
Güvenlik açığı, kritik etkisine işaret eden 7,5 gibi yüksek bir CVSS puanına sahip olsa da, kesin koşullara ihtiyaç duyulması nedeniyle kullanımı karmaşıktır.
Diğer güvenlik açıklarından yararlanan ileri düzey saldırganlar, sistem üzerinde tam kontrol elde etmek için bu kusurdan yararlanarak TrueNAS cihazlarında depolanan verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilir.
Bu güvenlik açığı TrueNAS CORE’un birden fazla sürümünü etkiliyor ve iXsystems, sistemin varsayılan yapılandırmasında bu güvenlik açığının varlığını doğruladı. Bu kusur, önceden kimlik doğrulama veya kullanıcı etkileşimi gerektirmediğinden, ağa bitişik ortamlardaki yama uygulanmamış sistemler için önemli bir risk oluşturur.
iXsystems, güvenlik açığını gidermek için derhal bir yama yayınladı. Kullanıcıların sistemlerini bu sorunu çözen en son sürüm olan TrueNAS CORE 13.0-U6.3’e güncellemeleri önemle tavsiye edilir.
Zero Day Initiative tarafından hazırlanan bir rapora göre, Computest Sector 7’den güvenlik araştırmacıları Daan Keuper, Thijs Alkemade ve Khaled Nassar, güvenlik açığını keşfetti ve açıkladı.
Araştırmaları, kritik güvenlik açıklarının belirlenmesinde ve azaltılmasında proaktif güvenlik testlerinin önemini vurguluyor.
CVE-2024-11944, açık kaynaklı yazılımlarda sağlam güvenliği sürdürmenin zorluklarını vurguluyor. TrueNAS CORE kullanan yöneticilerin, olası kötüye kullanımı önlemek için güncellemeyi hemen uygulamaları önerilir.
Bu olay aynı zamanda bize sık sistem güncellemelerinin ve dikkatli ağ güvenliği uygulamalarının önemini de hatırlatıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin