CVE-2024-29855 olarak takip edilen kritik bir Veeam Recovery Orchestrator kimlik doğrulama atlama güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarı yayımlandı ve bu da saldırılarda istismar edilme riskini artırıyor.
Bu istismar, kendi sitesinde ayrıntılı bir gönderi yayınlayan güvenlik araştırmacısı Sina Kheirkha tarafından geliştirildi. Gönderi, kusurun istismar edilmesinin satıcının bülteninde önerilenden pratik olarak daha kolay olduğunu gösterdi.
Kritik kimlik doğrulama atlama
CVSS v3.1’e göre (“kritik”) 9,0 olarak derecelendirilen CVE-2024-29855, Veeam Recovery Orchestrator (VRO) 7.0.0.337 ve 7.1.0.205 ve daha eski sürümlerini etkileyen bir kimlik doğrulama atlama güvenlik açığıdır.
Bu kusur, kimliği doğrulanmamış saldırganların Veeam Recovery Orchestrator web kullanıcı arayüzünde yönetici ayrıcalıklarıyla oturum açmasına olanak tanıyor.
Sorun, saldırganların yöneticiler de dahil olmak üzere herhangi bir kullanıcı için geçerli JWT belirteçleri oluşturmasına olanak tanıyan sabit kodlu bir JSON Web Belirteci (JWT) sırrının kullanılmasından kaynaklanmaktadır.
Daha spesifik olarak, JWT sırrı, her kurulumda herhangi bir rastgelelik veya benzersizlik olmaksızın belirteçler oluşturur ve doğrular, bu da onu kötüye kullanılabilecek kadar öngörülebilir ve statik hale getirir.
Veeam’in güvenlik bülteni, yamalı 7.1.0.230 ve 7.0.0.379 sürümlerine yükseltme yapılmasını öneriyor ve ayrıca kusurdan yararlanmak için gereken koşulları da açıklıyor. Bu koşullar, geçerli bir kullanıcı adı ve rolün bilinmesini ve aktif oturumu olan bir kullanıcıyı hedeflemeyi içerir.
Veeam’in bülteninde “Saldırganın, ele geçirmeyi gerçekleştirmek için aktif bir VRO UI erişim jetonuna sahip bir hesabın tam kullanıcı adını ve rolünü bilmesi gerekir” yazıyor.
Ancak Kheirkha’nın yazısında gösterdiği gibi, bu gereksinimlerin bazıları çok az bir çabayla aşılabilir ve bu da bu güvenlik açığını daha zorlu ve etkili hale getirir.
Gereksinimlerin üstesinden gelmek
Kheirkha, yalnızca beş rol (DRSiteAdmin, DRPlanAuthor, DRPlanOperator ve SiteSetupOperator) olabildiği için rolü belirlemenin kolayca aşılabileceğini buldu.
Yararlanma betiği, JWT belirteçleri oluştururken bir eşleşme bulana kadar bu roller arasında yinelenecek şekilde tasarlandı.
Kaynak: Çağırma Ekibi
Saldırıda kullanılacak bir kullanıcı adı bulmak için araştırmacı, yalnızca hedef uç noktaya bağlanarak elde edilen SSL sertifikasının genellikle etki alanını ve jeton püskürtme saldırısında kullanılacak potansiyel kullanıcı adlarını türetmeye yetecek kadar ipucu içerdiğini belirtiyor.
“‘Kullanıcı adını bilme’ sorunu ‘bir nevi’ şu çözümle çözülebilir: [email protected] adında bir kullanıcının var olduğunu varsayarak, SSL sertifikasının CN alanına bakarak alan adını bulabilir ve Kullanıcı adı püskürtülebilir” diye açıklıyor Çağırma Ekibindeki araştırmacılar.
Son olarak, “aktif oturum” gereksinimiyle ilgili olarak Kheirkha’nın PoC betiği, aktif bir oturuma ulaşma şansını artırmak için JWT tokenlerini çeşitli zaman damgaları üzerinde üretir ve test eder.
Daha hedefe yönelik ve gizli bir yaklaşım, kullanıcı etkinlik sürelerini araştırmak olacaktır. Aktif bir oturum belirteci eşleşene kadar sürekli girişimleri içeren ‘kaba kuvvet’ yaklaşımı da vardır.
CVE-2024-29855’e yönelik istismar artık kamuya açık olduğundan, saldırganlar muhtemelen yama uygulanmamış sistemlere karşı bunu kullanmaya çalışacaklardır; bu nedenle, mevcut güvenlik güncellemelerinin mümkün olan en kısa sürede uygulanması çok önemlidir.