Hintli – Bilgisayar Acil Müdahale Ekibi (Cert-in), Rising Technosoft Cap Back Office uygulamasında çeşitli güvenlik açıklarını detaylandıran CIVN-2025-0048 kritik bir güvenlik açığı notu yayınladı.
2.0.4’ten önceki tüm sürümleri etkileyen yükselen Technosoft güvenlik açıkları, kullanıcıları sonlandırmak için bir siber güvenlik riski oluşturur ve potansiyel olarak saldırganların yetkisiz erişim kazanmasını, hesap devralmalarını gerçekleştirmesini ve veri ihlallerine neden olur.
Güvenlik açıkları, öncelikle stok brokerleri ve mevduat katılımcıları tarafından kullanılan Windows tabanlı bir yazılım olan Rising Technosoft’un Cap Back Office uygulamasında bulunur. 2.0.4’ten önceki yazılımın tüm sürümleri bu kusurlardan etkilenir.
Anahtar yükselen Technosoft güvenlik açıkları
Raporda, her biri yetkisiz erişim elde etmek veya kullanıcı hesaplarından ödün vermek için kullanılabilecek beş kritik güvenlik açıkını özetlemektedir. Bunlar şunları içerir:
Yanlış Kimlik Doğrulama Güvenlik Açığı (CVE-2025-29994)
CIVN-2025-0048 Danışmanlığı, CAP Back Office uygulamasının API uç noktasında uygunsuz bir kimlik doğrulama güvenlik açığını vurgular. Bu kusur, kimlik doğrulanmamış bir saldırganınAPI parametrelerini manipüle ederek kimlik doğrulama mekanizmalarını geçin. Bu güvenlik açığından yararlanarak, saldırganlar kullanıcı hesaplarına yetkisiz erişim sağlayarak potansiyel veri hırsızlığına veya hesap kötüye kullanımına yol açabilir.
Hesap Devralma Güvenlik Açığı (CVE-2025-29995)
Başka bir kritik güvenlik açığı zayıf bir şifre sıfırlama mekanizması içerir. Geçerli bir giriş kimliğine sahip saldırganlar, diğer kullanıcıların şifrelerini sıfırlamak için uygulamanın API uç noktaları aracılığıyla bu kusuru kullanabilirS. Bu güvenlik açığı, saldırganlara etkilenen hesaplar üzerinde tam kontrol sağlayarak tam bir hesap devralmasına neden olabilir.
Kimlik Doğrulama Bypass Güvenlik Açığı (CVE-2025-29996)
Uygulamanın iki faktörlü kimlik doğrulama (2FA) mekanizması da savunmasızdır. OTP doğrulamasının yanlış uygulanması nedeniyle, geçerli kimlik bilgilerine sahip saldırganlar API isteklerini manipüle ederek 2FA’yı atlayabilir. Bu kusur, yetkisiz kullanıcıların hesaplara erişmesine izin verebilir. Aksi takdirde ek güvenlik katmanı ile korunabilir.
Yanlış Erişim Kontrolü Güvenlik Açığı (CVE-2025-29997)
Kapak arka ofis uygulaması, belirli API uç noktalarında uygunsuz erişim kontrolü kontrollerinden muzdariptir. Bu güvenlik açığı, kimlik doğrulamalı saldırganların API isteği URL’lerini manipüle etmelerini sağlar ve diğer kullanıcıların hesaplarına yetkisiz erişim sağlar. Böyle bir sorun hassas verileri ortaya çıkarabilir veya yetkisiz işlemlerle sonuçlanabilir ve kullanıcı güvenliğini daha da tehlikeye atabilir.
Oran sınırlayıcı güvenlik açığı yok (CVE-2025-29998)
OTP taleplerinde oran sınırlama eksikliği, başka bir ciddi güvenlik açığı sunar. Saldırganlar, uygulamanın API’sını kısa bir süre içinde birden fazla OTP isteği ile doldurarak bu kusurdan yararlanarak OTP bombalamasına yol açabilir. Bu hizmet reddi saldırısı, sistemin performansını ciddi şekilde etkileyebilir, meşru kullanıcı erişimini engelleyebilir ve diğer kötü amaçlı faaliyetlerin olasılığını artırabilir.
Çözüm
CIVN-2025-0048’de özetlenen güvenlik açıkları, yükselen Technosoft Cap Back Office uygulamasının kullanıcıları için siber güvenlik riski oluşturur ve potansiyel olarak yetkisiz erişim, veri ihlalleri, hesap devralmaları ve finansal kayıplara yol açar.
Bu kritik sorunlar, hassas kullanıcı bilgilerini sömürüye maruz bırakarak tüm kullanıcıların 2.0.4 sürümüne veya üstüne yükseltmesini çok önemli hale getirir. Rising Technosoft, güvenlik açıklarını kabul etti ve güvenliği artırmak için güncellemeyi önererek sorunu aktif olarak ele alıyor. Saldırılmamışsa, bu kusurlar sistemin bütünlüğünü ciddi şekilde etkileyebilir.