Pwnage için kimlik doğrulama öncesi ve sonrası yol
Popüler kurumsal analitik platformu Yellowfin BI’da, sabit kodlanmış anahtarların kullanımından kaynaklanan üçlü bir kimlik doğrulama baypas hatası düzeltildi.
Assetnote güvenlik araştırmacıları, kimlik doğrulama öncesi güvenlik açıklarını ortaya çıkardıktan sonra, komut yürütme için kimlik doğrulama sonrası bir yol buldu.
Assetnote’tan Max Garrett tarafından keşfedilen kusurlara CVE numaraları verildi, ancak henüz CVSS puanları verilmedi.
Baypaslar
Sorunlar, ile belirtildiği gibi kimlik doğrulama mantığı örnekleri aracılığıyla keşfedildi.
Garrett ve Assetnote CTO’su ve kurucu ortağı tarafından yayınlanan bir blog gönderisine göre, bir kimlik doğrulama atlaması (CVE-2022-47884) “imza kontrolünden geçildiği sürece herhangi bir kullanıcı olarak oturum açmamıza izin veren bir mantık” içerdiği için ortaya çıktı. Shubham Shah dün (24 Ocak). Sabit kodlu özel RSA anahtarı, herkesin imza kontrolünden geçebileceği anlamına geliyordu.
JsAPI sunucu uygulamasında bulunan ikinci bir atlama, saldırganların, sabit kodlanmış anahtarın kullanıcı kimliği (CVE-2022-47885) kullanılarak AES ile şifrelenmiş EXTAPI-IPID tanımlama bilgisi aracılığıyla kimlik doğrulaması yapabileceği anlamına geliyordu.
Blog yazısı, “Yani, kurbanın kullanıcı kimliğini bilen herkesin kendi hesabı olarak geçerli bir oturum oluşturması mümkün” dedi.
En son kurumsal güvenlik haberlerinin devamını okuyun
Üçüncü ve son atlama (CVE-2022-47882), Yellowfin’in REST API’si içindeki JWT’leri yetersiz uygulamasına odaklandı.
Geçerli bir yenileme belirteci kimliği ve ayıklanmış sabit kodlu anahtar, herhangi bir kullanıcı olarak geçerli bir JWT oluşturulmasını sağladı, ancak başarılı bir oturum açmadan oluşturulan geçerli bir yenileme belirteci kimliğine duyulan ihtiyaç göz önüne alındığında, etki ayrıcalık yükseltme ile sınırlıydı.
Bir kimlik doğrulama atlaması gerçekleştirdikten sonra, dördüncü bir hata olan CVE-2022-47883, saldırganların uzaktan kod yürütme (RCE) gerçekleştirmesini sağladı.
Araştırmacılar, Yellowfin BI’ın uygulamaya veri çekmek için rastgele veri kaynaklarıyla bağlantısına dikkat çekerek, JNDI veya JDBC enjeksiyonlarının komut yürütmeyi sağlayıp sağlayamayacağını araştırdı ve gadget’ı kullanan JNDI mekanizması gerektiği gibi verimli oldu.
Assetnote, kavram kanıtı istismar zincirinin tamamını GitHub’da yayınladı.
Güvenlik açıkları, Yellowfin BI 9.8.1’de yamalanmıştır.
Monolith uygulama tavsiyesi
Shah, “Kurumsal uygulamaları değerlendirmemizde, genellikle önemli güvenlik etkilerine yol açan sabit kodlanmış anahtarlar buluyoruz (örneğin, VMWare AirWatch’taki hatamız),” dedi Shah. günlük yudum. “Pek çok kurumsal ürünün temini, kalifikasyon ve satış süreçleri nedeniyle zor olabilir. Bununla birlikte, kaynak kodu bir kez elde edildikten sonra, kolayca ve kolayca yararlanılabilecek birçok kritik güvenlik açığı vardır.”
Yellowfin bir Java yekpare uygulamasıdır ve Shah ve Garrett benzer kod tabanlarını araştıran diğer güvenlik araştırmacılarına metodolojik tavsiyelerde bulundular: “Kimlik doğrulama öncesi saldırı yüzeyini mümkün olduğunca ayrıntılı bir şekilde haritalayın” dediler.
“Hem statik hem de dinamik tüm yolları anlayın ve ardından bu yolların hangi bölümlerinin herhangi bir kimlik doğrulaması olmadan gerçekten erişilebilir olduğunu belirleyin.”
Kimlik doğrulama öncesi rotaları haritaladıktan sonra “kullanıcı girişinin bu rotalar tarafından nasıl işlendiğini belirleyin ve hangi rotaların hangi kullanıcı girişini aldığını anlayın” diye devam ettiler. Bu, “basitçe denetleyicilerin veya parametrelerin adlarına dayalı olarak” daha fazla araştırmayı garanti eden sorunları ortaya çıkaracaktır.
BUNLARI DA SEVEBİLİRSİNİZ AWS yamaları, CloudTrail API izleme aracındaki hatayı atlar