Güvenlik uzmanları, Oracle’ın Java çerçevesinde ciddiyeti abartılamayacak kadar kötü bir güvenlik açığını yamaladığını söylüyor.
CVE-2022-21449 olarak izlenen kusur, şirketin Java 15 ve daha yeni sürümleri için Eliptik Eğri Dijital İmza Algoritması’nda (ECDSA) bulundu. Tehdit aktörlerinin TSL sertifikalarını ve imzalarını, iki faktörlü kimlik doğrulama kodlarını, yetkilendirme kimlik bilgilerini ve benzerlerini taklit etmesine olanak tanır.
tarafından açıklandığı gibi ArsTeknik, ECDSA, mesajları dijital olarak doğrulayan bir algoritmadır. Anahtar ürettiği için, genellikle FIDO’nun iki faktörlü kimlik doğrulaması, Güvenlik Onayı İşaretleme Dili, OpenID ve JSON gibi standartlarda kullanılır.
SSL sertifikaları ve el sıkışmaları oluşturma
Güvenlik açığı ilk olarak, açığı bilim kurgu dizisi Doctor Who’daki boş kimlik kartıyla karşılaştıran ForgeRock’tan Neil Madden tarafından keşfedildi. Dizide, kimlik kartına bakan kişi, kartın boş olmasına rağmen, sahibinin görmesini istediğini görür.
Madden, “Son zamanlarda Java’nın bazı sürümlerinin, yaygın olarak kullanılan ECDSA imzalarının uygulanmasında benzer türde bir hileye karşı savunmasız olduğu ortaya çıktı” dedi.
Güvenlik açığı bulunan sürümlerden birini çalıştırıyorsanız, saldırgan bazı SSL sertifikaları ve el sıkışma türlerini (iletişimlerin kesilmesine ve değiştirilmesine izin vererek), imzalı JWT’leri, SAML iddialarını veya OIDC kimlik belirteçlerini ve hatta WebAuthn kimlik doğrulama mesajlarını kolayca taklit edebilir. Hepsi boş bir kağıt parçasının dijital eşdeğerini kullanıyor.”
Kusur, 7.5/10’luk resmi bir önem puanı aldı, ancak Madden değerlendirmeye kesinlikle katılmıyor.
“Bu hatanın ciddiyetini abartmak zor. Bu güvenlik mekanizmalarından herhangi biri için ECDSA imzaları kullanıyorsanız, sunucunuz Nisan 2022 Kritik Yama Güncellemesinden (CPU) önceki herhangi bir Java 15, 16, 17 veya 18 sürümünü çalıştırıyorsa, saldırgan bunları önemsiz ve tamamen atlayabilir. Bağlam için, gerçek dünyadaki neredeyse tüm WebAuthn/FIDO cihazları (Yubikey’ler dahil ECDSA imzalarını kullanır ve birçok OIDC sağlayıcısı ECDSA imzalı JWT’leri kullanır” dedi.
İddiaya göre, yalnızca Java 15 ve sonraki sürümleri etkilenir, ancak Oracle ayrıca 7,8 ve 11 sürümlerini savunmasız olarak listelemiştir. Yine de, tüm müşterilerin uç noktalarını en yeni sürüme güncellemeleri isteniyor.
Aracılığıyla ArsTeknik