Siber Muhbir

Açık kaynaklı CasaOS kişisel bulut yazılımında keşfedilen iki kritik güvenlik açığı, saldırganlar tarafından rastgele kod yürütülmesi sağlamak ve hassas sistemleri ele geçirmek için başarıyla kullanılabilir.

CVE-2023-37265 ve CVE-2023-37266 olarak izlenen güvenlik açıklarının her ikisi de maksimum 9 üzerinden 8,10 CVSS puanı taşıyor.

Hataları keşfeden Sonar güvenlik araştırmacısı Thomas Chauchefoin, "saldırganların kimlik doğrulama gereksinimlerini aşmasına ve CasaOS panosuna tam erişim elde etmesine izin verdiğini" söyledi.

Daha da rahatsız edici bir şekilde, CasaOS'un üçüncü taraf uygulamalara verdiği destek, cihaza kalıcı erişim elde etmek veya dahili ağlara dönmek için sistemde rastgele komutlar çalıştırmak için silahlandırılabilir.

3 Temmuz 2023'teki sorumlu açıklamanın ardından, kusurlar, bakımcıları IceWhale tarafından 0 Temmuz 4'te yayınlanan 4.14.2023 sürümünde ele alındı.

İki kusurun kısa bir açıklaması aşağıdaki gibidir:

• CVE-2023-37265 - Kaynak IP adresinin yanlış tanımlanması, kimliği doğrulanmamış saldırganların CasaOS örneklerinde kök olarak rastgele komutlar yürütmesine izin veriyor
• CVE-2023-37265 - Kimliği doğrulanmamış saldırganlar rastgele JSON Web Belirteçleri (JWT'ler) oluşturabilir ve kimlik doğrulaması gerektiren özelliklere erişebilir ve CasaOS örneklerinde kök olarak rastgele komutlar yürütebilir

Yukarıda belirtilen kusurlardan başarılı bir şekilde yararlanmanın bir sonucu, saldırganların kimlik doğrulama kısıtlamalarını aşmasına ve savunmasız CasaOS örneklerinde yönetici ayrıcalıkları elde etmesine izin verebilir.

Chauchefoin, "Genel olarak, uygulama katmanında IP adreslerinin tanımlanması riske açıktır ve güvenlik kararları için güvenilmemelidir" dedi.

"Birçok farklı başlık bu bilgileri taşıyabilir (X-Forwarded-For, Forwarded, vb.) ve dil API'lerinin bazen HTTP protokolünün nüanslarını aynı şekilde yorumlaması gerekir. Benzer şekilde, tüm çerçevelerin kendi tuhaflıkları vardır ve bu yaygın güvenlik silahları hakkında uzman bilgisi olmadan gezinmek zor olabilir."