Giriş:
Son dönemde bilinen içerik yönetim sistemlerinden biri olan Sitevision CMS, güvenlik açığı nedeniyle dikkat çekti. CVE-2022-35202 olarak izlenen bu kritik güvenlik açığı, otomatik olarak oluşturulan zayıf parolaların arka planda kullanılan Java anahtar mağazalarını korumak için kullanılması sonucunda ortaya çıkmıştır. SAML kimlik doğrulama süreçlerini etkileyen bu zafiyet, kullanıcı oturumlarının ele geçirilmesine ve kimlik doğrulama bypasslerine neden olabilmektedir.
Teknik Açıklamalar:
Sitevision, özellikle İsveç’in kamu sektöründe ve büyük işletmelerde yaygın olarak kullanılan bir içerik yönetim sistemidir. SAML (Security Assertion Markup Language), Sitevision’da güvenli kimlik doğrulama akışlarını sağlamak için kullanılmaktadır. Ancak, zafiyetin temel sebebi, Sitevision’ın varsayılan olarak kullandığı 8 karakterli, yalnızca küçük harf ve rakamlardan oluşan otomatik olarak oluşturulmuş parolalardır. Bu parolalar, kötü niyetli aktörler tarafından kolayca brute-force (kaba kuvvet) saldırılarıyla kırılabilir.
Sitevision, içeriği yönetmek için WebDAV protokolünü kullanmaktadır. Ancak, yanlış yapılandırılmış WebDAV ayarları, hassas dosyaların özellikle de `saml-keystore` dosyasının yetkisiz erişime açılmasına yol açar. Bu dosya, SAML kimlik doğrulama isteklerini imzalamak için gerekli özel anahtarları barındırır. Dolayısıyla, bu dosyaya erişim sağlanması durumunda, kötü niyetli bir aktör, Java anahtar mağazasının parolasını kırabilir ve sonuç olarak SAML imza anahtarını elde edebilir.
Örnekler:
Parolanın kırılması için kullanılabilecek bir komut satırı örneği şu şekildedir:
!
bash hashcat -m 15500 -a 3 saml-keystore.hash -1 ?d?l ?1?1?1?1?1?1?1?1 -w 3 -O
!
Bu komut, 8 karakterden oluşan alfanümerik parolayı kırmak için kullanılabilir. Moderatör bir donanımda bu hash’i kırmanın süresi yaklaşık 15 saat civarındadır. Parola çözüldüğünde, kötü niyetli kişi `oiosaml` özel anahtarını ele geçirerek, SAML kimlik doğrulama isteklerini sahte bir şekilde imzalayabilir. Bu saldırı türü, kimlik doğrulama işlemlerinde ciddi bir güvenlik açığı oluşturur.
Önlemler & En İyi Uygulamalar:
Sitevision, zafiyeti gidermek amacıyla 10.3.2 sürümünde daha güçlü parolalar kullanılması yönünde bir güncelleme yayınlamıştır. Bu nedenle, mevcut sistemlerin güncellenmesi ve anahtar dosyalarının parolalarının elle değiştirilmesi gerekmektedir. Ayrıca, WebDAV konfigurasyonlarının gözden geçirilmesi ve gereksiz erişimlerin engellenmesi de kritik önem taşımaktadır.
Organizasyonların, SAML kullanan hizmet sağlayıcılarıyla işbirliği yaparak, `AssertionConsumerServiceURL` değerlerinin yalnızca önceden kaydedilen meta verilere göre doğrulandığından emin olmaları gerekir. Bu tür önlemler, saldırıların başarısını azaltmada etkili olacaktır.
Sonuç & Özet:
Sitevision CMS içindeki otomatik olarak oluşturulmuş zayıf parolalara dayanan CVE-2022-35202 güvenlik açığı, ciddi bir tehdit oluşturmakta ve SAML tabanlı kimlik doğrulama süreçlerini tehlikeye atmaktadır. Zayıf güvenlik uygulamaları, kötü niyetli aktörlerin kullanıcı oturumlarını ele geçirmesine neden olabilmektedir. Bu bağlamda, sistem yöneticilerinin zamanında güncelleme yapması ve güvenlik kontrollerini artırması şarttır.
Kaynakça:
ShellTrail: [Auto-Generated Password Vulnerability in Sitevision](https://www.shelltrail.com/research/how-auto-generated-passwords-in-sitevision-leads-to-signing-key-leakage-cve-2022-35202/)
Cybersecurity News: [CVE-2022-35202 Description](https://cybersecuritynews.com/auto-generated-password-vulnerability/) [Collection]
About the Author
