Giriş:
Sitevision CMS, birçok işletme ve organizasyon tarafından kullanılan bir içerik yönetim sistemidir. Ancak, son dönemde keşfedilen bir güvenlik açığı, bu sistemi kullananların ciddi risklerle karşı karşıya kalabileceğini ortaya koydu. CVE-2022-35202 olarak adlandırılan bu açık, uygun güvenlik önlemlerinin alınmadığı durumlarda saldırganların, SAML kimlik doğrulama isteklerini imzalamak için kullanılan özel anahtarları ele geçirmesine olanak sağlamaktadır.
Teknik Açıklamalar:
Söz konusu açık, Sitevision CMS’in 10.3.1 ve daha önceki sürümlerinde mevcut bulunmaktadır. Bu güvenlik açığı, Java keystore’larının WebDAV üzerinden erişilebilir olması ve otomatik olarak oluşturulan düşük karmaşıklıkta bir şifre ile korunmasından kaynaklanmaktadır. Böyle bir yapı, saldırganların bir dizi basit teknik ile bu şifrelere erişim sağlamasına imkan tanır.
Java keystore, özellikle kimlik doğrulama ve veri bütünlüğü sağlamak için kullanılan özel anahtarlar ve sertifikaları depolamak amacıyla kullanılır. WebDAV protokolü üzerinden erişim sağlamak, şifrelerin ve anahtarların korunamaması durumunda büyük bir tehdit oluşturur. Düşük karmaşıklıklı şifreler, saldırganların brute-force veya dictionary attack gibi yöntemlerle hızlıca kırılmasına neden olabilir.
Örnekler:
Bir saldırgan, Sitevision CMS’in keystore’una erişmek için aşağıdaki komutları kullanabilir:
“`
curl -X PROPFIND http://hedef-site.com:port/path/to/keystore -u user:password
“`
Eğer kullanıcı adı ve şifre doğru ise, saldırgan keystore’daki dosyalara erişebilir ve özel anahtarları çıkarabilir. Bu tür bir erişim, imza süreçlerini oluşturan sertifikaların çalınmasına ve dolayısıyla güvenliğin ihlaline yol açabilir.
Önlemler & En İyi Uygulamalar:
Bu tür bir açığın önüne geçmek için, Sitevision CMS kullanıcılarının alması gereken bazı önlemler bulunmaktadır. İlk olarak, otomatik olarak oluşturulan şifrelerin değiştirilmesi, daha karmaşık ve güvenli şifreler ile güncellenmesi kritik öneme sahiptir. Ayrıca, WebDAV erişimi sadece güvenilir IP adresleriyle sınırlanmalı ve mümkünse kapatılmalıdır.
Güvenlik güncellemeleri düzenli olarak kontrol edilmeli ve en son sürümlere geçiş yapılmalıdır. Böylelikle, bilinen güvenlik açıklarından korunma sağlanabilir.
Sonuç & Özet:
Sitevision CMS’deki CVE-2022-35202 güvenlik açığı, düşük karmaşıklıkta otomatik şifreler ve WebDAV erişimine dayanarak saldırılara açık bir sistem sunmaktadır. Bu durum, kullanıcıların özel anahtarlarını kaybetme riski taşımasına neden olur. Güvenlik önlemlerinin alınması, güncel yazılım sürümlerinin kullanılması ve uygun yapılandırmaların yapılması gerekmektedir.
Kaynakça:
– https://gbhackers.com/sitevision-auto-generated-password-vulnerability/ [Collection]
About the Author
