Popüler web tabanlı sistem yönetim aracı Webmin’in, saldırganların sunucuların kontrolünü ele geçirmesine olanak verebilecek kritik bir güvenlik açığı içerdiği tespit edildi. CVE-2024-12828 olarak tanımlanan güvenlik açığına, ciddi niteliğini gösteren 9,9 CVSS puanı verildi.
Kusur, Webmin’in CGI istek işlemesindeki bir komut ekleme güvenlik açığından kaynaklanıyor. Özellikle yazılım, kullanıcı tarafından sağlanan girişi sistem çağrılarını yürütmek için kullanmadan önce doğru şekilde doğrulayamıyor.
Bu gözetim, kimliği doğrulanmış saldırganların, daha sonra kök ayrıcalıklarıyla yürütülen kötü amaçlı komutlar eklemesine olanak tanır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Bu güvenlik açığını özellikle tehlikeli kılan şey, daha az ayrıcalıklı Webmin kullanıcıları tarafından istismar edilebilmesidir. Tam yönetim erişimi olmasa bile, bir saldırgan potansiyel olarak ayrıcalıklarını artırabilir ve sunucunun tüm kontrolünü ele geçirebilir.
Dünya çapında tahmini bir milyon Webmin kurulumuyla bu güvenlik açığının potansiyel etkisi oldukça önemlidir. CVE-2024-12828’in kullanılabilirliği aşağıdakilere yol açabilir:
- Tam sunucu uzlaşması
- Hassas verilere yetkisiz erişim
- Kötü amaçlı komut dosyalarının ve fidye yazılımlarının dağıtımı
- Güvenliği ihlal edilmiş sunucuların daha fazla saldırı için platform olarak kullanılması
Güvenlik açığı, Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından keşfedildi ve ZDI-24-1725 olarak takip edildi. Açıklama zaman çizelgesi aşağıdaki gibidir:
- 28 Mart 2024: Satıcıya güvenlik açığı bildirildi
- 20 Aralık 2024: Danışmanlık belgesinin koordineli bir şekilde kamuya açıklanması
Azaltma ve Yamalar
Webmin, bu güvenlik açığını gidermek için 2.111 sürümünde bir güncelleme yayınladı. Tüm Webmin ve Virtualmin yöneticilerinin kurulumlarını derhal güncellemeleri şiddetle tavsiye edilir.
Düzeltme aşağıdaki GitHub işleminde bulunabilir. Bu, Webmin’in ciddi güvenlik sorunlarıyla karşılaştığı ilk sefer değil. 2019’da Webmin’in 1.882 ila 1.921 sürümlerinde benzer bir uzaktan kod yürütme güvenlik açığı (CVE-2019-15107) keşfedildi. Bu olay, kimliği doğrulanmamış saldırganların komutları root olarak yürütmesine izin veren bir arka kapıyı içeriyordu.
- Webmin’i güncelleyin: Yöneticiler derhal Webmin 2.111 veya sonraki bir sürüme yükseltme yapmalıdır.
- Erişim Kontrolü: Katı erişim kontrolleri uygulayın ve mümkün olduğunda IP tabanlı kısıtlamalar kullanın.
- İzleme: Webmin tarafından yönetilen sunuculardaki şüpheli etkinliklerin izlenmesini geliştirin.
- En Az Ayrıcalık İlkesi: Kullanıcıların yalnızca rolleri için gereken gerekli izinlere sahip olduğundan emin olun.
Webmin güvenlik açığı, güvenli web tabanlı yönetim araçlarının sürdürülmesinde devam eden zorlukların ve komut ekleme saldırılarının önlenmesinde sağlam giriş doğrulamanın öneminin bir hatırlatıcısıdır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin