Xerox FreeFlow Core yazılımında tespit edilen iki kritik güvenlik açığı, saldırganların kimlik doğrulaması olmadan sistemleri tamamen ele geçirmesine olanak tanımaktadır. Horizon3.ai güvenlik araştırmacıları tarafından keşfedilen bu zafiyetler, ticari baskı merkezleri, üniversiteler ve devlet kurumlarında yaygın olarak kullanılan platformu hedef almaktadır. Exploit kodları halka açık hale gelmiştir.
Kritik Güvenlik Açıkları
| Zafiyet | CVE Kodu | Seviye | Etki |
|---|---|---|---|
| XML External Entity | CVE-2025-8355 | Kritik | Uzaktan kod çalıştırma, SSRF |
| Path Traversal | CVE-2025-8356 | Kritik | Dosya yükleme, RCE |
Her iki zafiyet de kimlik doğrulaması gerektirmeden uzaktan kod çalıştırmaya olanak tanımakta ve internet erişimli kurulumlar için özellikle tehlikeli durumda bulunmaktadır.
Keşif Süreci ve Teknik Analiz
Bu güvenlik açıklarının keşfi, Horizon3.ai’nin müşteri destek sürecinde karşılaştığı olağandışı bir durumla başladı. Şirketin NodeZero platformu, hedeflenen yazılımı içermediği varsayılan bir host’ta XXE exploitation callback’leri tespit etti. Bu anomali, araştırmacıları FreeFlow Core kurulumlarındaki yaygın zafiyeti ortaya çıkaracak derinlemesine bir araştırmaya yönlendirdi.
Etkilenen Sistem Mimarisi
FreeFlow Core, büyük ölçekli baskı operasyonlarını yöneten kapsamlı bir baskı orkestrasyon platformu olarak hizmet vermektedir. Platformun karmaşık mimarisi birden fazla servisi içermekte olup, 4004 portunda çalışan JMF Client servisi birincil saldırı vektörü konumundadır.
CVE-2025-8355: XML External Entity Zafiyeti
XXE injection zafiyeti, JMF (Job Message Format) mesaj işleme sistemindeki yanlış XML parsing’den kaynaklanmaktadır. Saldırganlar, kötü niyetli XML istekleri göndererek server-side request forgery saldırıları gerçekleştirebilir ve hassas sistem bilgilerine erişim sağlayabilir.
JMF Client servisi, baskı işi yönetimi için Job Message Format mesajlarını işlerken XML parsing yardımcı programında XML External Entity’leri düzgün bir şekilde sanitize etmemekte veya sınırlamamaktadır. Bu durum, saldırganların savunmasız sistemlere karşı server-side request forgery saldırıları düzenlemesine imkan tanımaktadır.
CVE-2025-8356: Path Traversal Zafiyeti
XML parsing rutinlerinin incelenmesi sırasında araştırmacılar, dosya işleme mekanizmasında ikinci ve daha kritik bir zafiyet keşfettiler. CVE-2025-8356, saldırganların sunucuda herkese açık konumlara kötü niyetli dosyalar yüklemesine olanak tanıyan bir path traversal zafiyetidir.
Araştırmacılar, bu zafiyetin erişilebilir dizinlere webshell yerleştirmek için exploit edilebileceğini ve tam uzaktan kod çalıştırma yetenekleri sağladığını gösterdiler. Dosya işleme mekanizmasındaki bu critical flaw, saldırganların sistem üzerinde tam kontrol elde etmesine olanak tanımaktadır.
Saldırı Senaryosu ve Teknik Detaylar
Saldırı Akışı:
- Saldırgan, hedef sisteme 4004 portuna kötü niyetli XML isteği gönderir
- XXE zafiyeti kullanılarak sistem bilgilerine erişim sağlanır
- Path traversal zafiyeti ile webshell dosyaları yüklenir
- Upload edilen webshell üzerinden tam sistem kontrolü elde edilir
Hedef Platform Özellikleri: FreeFlow Core sistemleri tipik olarak ön yayın pazarlama materyallerini işler ve baskı orkestrasyon fonksiyonları için nispeten açık ağ erişimi gerektirir. Bu durum, onları siber suçlular için özellikle çekici hedefler haline getirmektedir.
Risk Faktörleri:
- Kimlik doğrulaması gerektirmez
- İnternet erişimli kurulumlar yüksek risk altında
- Hassas kurumsal ve ön yayın içeriklerine erişim imkanı
- Ağ içi lateral hareket için elverişli konum
Etkilenen Sistemler ve Kurumlar
FreeFlow Core platformu öncelikle aşağıdaki sektörlerde dağıtılmıştır:
- Ticari baskı merkezleri: Müşteri materyallerini işleyen tesisler
- Ambalaj sağlayıcıları: Endüstriyel ambalaj üretim süreçleri
- Üniversiteler: Akademik yayın ve materyal üretimi
- Devlet kurumları: Büyük ölçekli belge ve materyal baskısı
Bu deployment’ların hassas doğası, baskı iş akışlarının genellikle ön yayın pazarlama materyallerini ve hassas kurumsal bilgileri içermesi nedeniyle güvenlik riskini daha da artırmaktadır.
Üretici Yanıtı ve Patch Süreci
Xerox, sorumlu açıklama sürecini takiben her iki zafiyeti de 8 Ağustos 2025 tarihinde yayınlanan FreeFlow Core versiyon 8.0.5’te gidermiştir. Haziran 2025’te Horizon3.ai tarafından başlatılan sorumlu açıklama süreci boyunca şirket, araştırmacılarla işbirliği halinde çalışmıştır.
Açıklama Zaman Çizelgesi:
- Haziran 2025: İlk temas ve zafiyet bildirimi
- Temmuz 2025: Zafiyet doğrulama ve patch geliştirme
- 8 Ağustos 2025: FreeFlow Core 8.0.5 yayını
- 14 Ağustos 2025: Koordineli halk açıklaması
Bu ölçülü yaklaşım, Xerox’a kapsamlı düzeltmeler geliştirmek için yeterli zaman tanırken güvenlik topluluğunun risklerin zamanında bildirimini almasını sağlamıştır.
IOC (Tehdit Göstergeleri) ve Tespit
Şüpheli Ağ Aktiviteleri:
- Port 4004’e yönlendirilen anormal XML istekleri
- JMF endpoint’lerine gönderilen kötü niyetli payload’lar
- Beklenmeyen external entity callback’leri
Sistem Seviyesi Göstergeler:
- Web dizinlerinde beklenmeyen PHP/JSP/ASPX dosyaları
- Anormal dosya yükleme işlemleri
- Yetkisiz kullanıcı hesapları oluşturulması
- Sistemde beklenmeyen network bağlantıları
Log Pattern Örnekleri:
POST /jmf HTTP/1.1
Content-Type: application/xml
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<xml>&xxe;</xml>
Acil Müdahale Gereksinimleri
Anında Yapılması Gerekenler: FreeFlow Core çalıştıran tüm organizasyonlar derhal versiyon 8.0.5’e yükseltme yapmalıdır. Proof-of-concept exploit’lerin halka açık durumda olması ve zafiyetlerin ciddiyeti nedeniyle patch’lemeyi geciktirmek tam sistem compromise ile sonuçlanabilir.
Geçici Koruma Önlemleri:
- Port 4004’e dış ağ erişimini derhal engelleyin
- JMF trafiği için ek monitoring kuralları uygulayın
- Ağ segmentasyonu ile FreeFlow Core sistemlerini izole edin
- Web dizinlerinde anormal dosya oluşumunu izleyin
Güncelleme Önceliği: Güvenlik ekipleri savunmasız FreeFlow Core kurulumlarını taramayı ve acil güncelleme yapılamayan durumlarda emergency patch’leri uygulamayı önceliklendirmelidir.
Sonuç ve Öneriler
Bu güvenlik açıklarının ortaya çıkması, kurumsal baskı altyapısının genellikle gözden kaçan ancak önemli saldırı vektörleri sağlayabilen bir bileşen olduğunu vurgulamaktadır. Kötü niyetli aktörlerin kurumsal ağlara sızma ve hassas ön yayın içeriğine erişim arama çabaları için bu zafiyetler önemli fırsatlar sunmaktadır.
Sorumlu açıklama sürecinin endüstri en iyi uygulamalarını göstermesi olumlu olmakla birlikte, exploit kodlarının halka açık durumda olması nedeniyle aktif saldırı riski kritik seviyededir. Tüm FreeFlow Core kullanıcıları sistem güvenliğini korumak için derhal eylem almalıdır.
About the Author
