Fit2Cloud tarafından geliştirilen yaygın olarak kullanılan bir açık kaynaklı ayrıcalıklı erişim yönetimi (PAM) aracının kritik güvenlik açıklarına sahip olduğu bulunmuştur.
Sonarsource’un güvenlik açığı araştırma ekibi tarafından vurgulanan bu kusurlar, saldırganların kimlik doğrulamasını atlamasına ve potansiyel olarak tulumcu altyapısı üzerinde tam kontrol kazanmasına izin veriyor.
Tulumcu, iç ağlara merkezi bir ağ geçidi görevi görür ve SSH, RDP ve kullanıcı dostu bir web arayüzü üzerinden FTP tünelleri gibi özellikler sunar.
Ancak, tehlikeye atılan durumu saldırganlara tüm dahili ağa erişim sağlayabilir.
Güvenlik açıklarının teknik detayları
Güvenlik açıkları öncelikle mimari hatalardan, özellikle mikro hizmetler arasında yetersiz izolasyondan kaynaklanmaktadır.
Jumpserver’in mimarisi, her biri bir Docker kabı olarak çalışan çekirdek API, Veritabanı, Koko, kereviz ve Web Proxy gibi çeşitli bağımsız bileşenler içerir.
Çekirdek API kimlik doğrulama ve yetkilendirmeyi işlerken Koko, SSH bağlantıları gibi tünel işlevlerini yönetir.
Güvenlik açıkları, genel anahtar kimlik doğrulaması ve çok faktörlü kimlik doğrulama (MFA) mekanizmalarındaki zayıflıklardan yararlanır.
Örneğin, saldırganlar Koko Hizmetini Web arayüzü aracılığıyla doğrudan Web arayüzü aracılığıyla doğrudan erişerek taklit edebilir ve genel anahtar doğrulamasını atlayabilir.
Ayrıca, MFA baypas güvenlik açıkları, saldırganların API isteklerinde uzak IP adresini manipüle ederek hız sınırlayıcı mekanizmalardan kaçmasına izin verir.
Etki ve Düzeltmeler
CVE-2023-43650, CVE-2023-43652 ve CVE-2023-46123 gibi CVES altında izlenen bu güvenlik açıkları, 3.10.12 ve 4.0.0 tulumcu sürümlerinde ele alınmıştır.
Düzeltmeler, genel anahtar kimlik doğrulama API’lerinin ayrılması, SSH kimlik doğrulamasında kısmi başarı için durum izlemesinin getirilmesi ve yalnızca Koko’dan kaynaklanan taleplere güvenerek MFA’nın geliştirilmesi yer alır.
Tulumcu kullanan kuruluşların potansiyel saldırıları önlemek için en son yamalı sürümlere güncellemeleri tavsiye edilir.
Araştırmacılar ve FIT2Cloud arasındaki işbirliği, bu güvenlik sorunlarını derhal ele almak, sürekli güvenlik değerlendirmelerinin öneminin altını çizmek ve güvenli kodlama uygulamalarının altını çizmek için övgüyle karşılanmıştır.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene