Açık Kaynak CasaOS Bulut Yazılımında Ortaya Çıkan Kritik Açıklar - Dünyadan Güncel Teknoloji Haberleri

Açık Kaynak CasaOS Bulut Yazılımında Ortaya Çıkan Kritik Açıklar - Dünyadan Güncel Teknoloji Haberleri
4 bakımcıları IceWhale tarafından 14 Temmuz 2023’te piyasaya sürüldü


17 Ekim 2023Haber odasıGüvenlik Açığı / Siber Tehdit

Açık kaynakta iki kritik güvenlik açığı keşfedildi CasaOS Kişisel bulut yazılımı, saldırganlar tarafından keyfi kod yürütmeyi gerçekleştirmek ve duyarlı sistemleri ele geçirmek için başarıyla kullanılabilir ”



siber-2

Şu şekilde izlenen güvenlik açıkları: CVE-2023-37265 Ve CVE-2023-37266Her ikisi de maksimum 10 üzerinden 9,8 CVSS puanına sahiptir ) ve dil API’lerinin bazen HTTP protokolünün nüanslarını aynı şekilde yorumlaması gerekir ”

Daha da kötüsü, CasaOS’un üçüncü taraf uygulamalarına yönelik desteği, cihaza kalıcı erişim sağlamak veya dahili ağlara geçiş yapmak için sistemde rastgele komutlar çalıştıracak şekilde silah haline getirilebilir 4

Hataları keşfeden sonar güvenlik araştırmacısı Thomas Chauchefoin, söz konusu “saldırganların kimlik doğrulama gereksinimlerini aşmalarına ve CasaOS kontrol paneline tam erişim elde etmelerine olanak tanıyor

İki kusurun kısa bir açıklaması aşağıdaki gibidir:

  • CVE-2023-37265 – Kaynak IP adresinin yanlış tanımlanması, kimliği doğrulanmamış saldırganların CasaOS örneklerinde kök olarak rastgele komutlar yürütmesine olanak tanıyor
  • CVE-2023-37265 – Kimliği doğrulanmamış saldırganlar isteğe bağlı JSON Web Belirteçleri oluşturabilir (JWT’ler) ve kimlik doğrulaması gerektiren özelliklere erişin ve CasaOS örneklerinde kök olarak isteğe bağlı komutları yürütün

Yukarıda belirtilen kusurların başarılı bir şekilde kullanılması, saldırganların kimlik doğrulama kısıtlamalarını aşmasına ve savunmasız CasaOS örneklerinde yönetici ayrıcalıkları kazanmasına olanak tanıyabilir Benzer şekilde, tüm çerçevelerin kendi tuhaflıkları vardır ve yanıltıcı olabilir Bu yaygın güvenlik silahları hakkında uzman bilgisi olmadan gezinmek

“Birçok farklı başlık bu bilgiyi taşıyabilir (X-Forwarded-For, Forwarded, vb

Chauchefoin, “Genel olarak, uygulama katmanında IP adreslerinin belirlenmesi riske açıktır ve güvenlik kararları için buna güvenilmemelidir” dedi

3 Temmuz 2023’teki sorumlu açıklamanın ardından kusurlar şu şekilde giderildi: sürüm 0