Siber Muhbir

CVE-2024-43405 olarak izlenen bu sistem, maksimum 10.0 üzerinden 7.4 CVSS puanı taşır. Nuclei'nin 3.0.0'dan sonraki tüm sürümlerini etkiler.

Güvenlik açığının açıklamasına göre, "Güvenlik açığı, imza doğrulama işleminin ve YAML ayrıştırıcısının yeni satır karakterlerini nasıl işlediği ve birden çok imzanın işlenme şekli arasındaki tutarsızlıktan kaynaklanıyor".

"Bu, bir saldırganın şablonun iyi huylu kısmı için geçerli bir imzayı korurken bir şablona kötü amaçlı içerik enjekte etmesine olanak tanır."

Nuclei, güvenlik açıklarını belirlemek için modern uygulamaları, altyapıyı, bulut platformlarını ve ağları araştırmak için tasarlanmış bir güvenlik açığı tarayıcısıdır. Tarama motoru, bir kusurun varlığını belirlemek için belirli istekler göndermek için YAML dosyalarından başka bir şey olmayan şablonları kullanır.

Ayrıca, kod protokolünü kullanarak ana bilgisayar işletim sisteminde harici kodun yürütülmesini sağlayabilir ve böylece araştırmacılara güvenlik testi iş akışları üzerinde daha fazla esneklik sağlar.

CVE-2024-43405'i keşfeden bulut güvenlik firması Wiz, güvenlik açığının, resmi şablonlar deposunda kullanıma sunulan şablonların bütünlüğünü sağlamak için kullanılan şablon imza doğrulama sürecinden kaynaklandığını söyledi.

Güvenlik açığından başarılı bir şekilde yararlanılması, bu önemli doğrulama adımının atlanmasıdır ve saldırganların rastgele kod yürütebilen ve ana bilgisayardan hassas verilere erişebilen kötü amaçlı şablonlar oluşturmasına olanak tanır.

Wiz araştırmacısı Guy Goldenberg Cuma günü yaptığı bir analizde, "Bu imza doğrulaması şu anda Nuclei şablonlarını doğrulamak için mevcut olan tek yöntem olduğundan, potansiyel bir tek başarısızlık noktasını temsil ediyor" dedi.

Özünde, sorun imza doğrulaması için normal ifadelerin (diğer adıyla normal ifade) kullanılmasından ve hem normal ifade hem de YAML ayrıştırıcısının kullanılmasının bir sonucu olarak ortaya çıkan ayrıştırma çakışmasından kaynaklanır ve bu nedenle bir saldırganın normal ifade tabanlı imza doğrulamasını atlatacak ve YAML ayrıştırıcısı tarafından bir satır sonu olarak yorumlanacak şekilde bir "\r" karakteri tanıtabileceği bir senaryoya kapı açar.

Başka bir deyişle, bu ayrıştırma tutarsızlıkları, imza doğrulama işleminden kaçan ancak YAML yorumlayıcısı tarafından ayrıştırılan ve yürütülen ikinci bir "# digest:" satırı eklemek için "\r" kullanan bir Nuclei şablonu oluşturmak için zincirlenebilir.

"Go'nun normal ifade tabanlı imza doğrulaması, \\r'yi aynı satırın bir parçası olarak ele alırken, YAML ayrıştırıcısı bunu bir satır sonu olarak yorumlar. Bu uyumsuzluk, saldırganların doğrulamayı atlayan ancak YAML ayrıştırıcısı tarafından yürütülen içerik enjekte etmesine izin veriyor," diye açıkladı Goldenberg.

"Doğrulama mantığı yalnızca ilk # özet: satırını doğrular. Ek # özet: satırlar doğrulama sırasında yoksayılır ancak YAML tarafından ayrıştırılacak ve yürütülecek içerikte kalır.

Ayrıca, doğrulama işlemi, imza satırını şablon içeriğinden hariç tutmak için bir adım içerir, ancak bunu yalnızca ilk satırın doğrulanacağı şekilde yapar, böylece sonraki satırları doğrulanmamış ancak yürütülebilir bırakır.

Sorumlu açıklamanın ardından, ProjectDiscovery tarafından 4 Eylül 2024'te 3.3.2 sürümüyle ele alındı. Nuclei'nin mevcut sürümü 3.3.7'dir.

Goldenberg, "Saldırganlar, Nuclei'nin imza doğrulamasını atlamak için manipüle edilmiş # özet satırları veya dikkatlice yerleştirilmiş \r satır sonları içeren kötü amaçlı şablonlar oluşturabilir" dedi.

"Bu güvenlik açığı için bir saldırı vektörü, kuruluşlar uygun doğrulama veya izolasyon olmadan güvenilmeyen veya topluluk tarafından katkıda bulunulan şablonları çalıştırdığında ortaya çıkar. Bir saldırgan, kötü amaçlı şablonlar enjekte etmek için bu işlevden yararlanabilir ve bu da keyfi komut yürütmeye, veri hırsızlığına veya sistemin güvenliğinin ihlal edilmesine yol açabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.