LogicalDOC, Mayan, ONLYOFFICE ve OpenKM olmak üzere dört sağlayıcının açık kaynaklı ve ücretsiz Doküman Yönetim Sistemi (DMS) tekliflerinde çok sayıda yama yapılmamış güvenlik kusuru ifşa edilmiştir.
Siber güvenlik firması Rapid7, sekiz güvenlik açığının “bir saldırganın bir insan operatörü platformda kötü niyetli bir belgeyi kaydetmeye ikna edebileceği ve belge kullanıcı tarafından dizine eklendiğinde ve tetiklendiğinde, saldırgana kuruluşu kontrol etmesi için birden fazla yol sağlayan bir mekanizma sunduğunu söyledi. .”
Sekiz siteler arası betik çalıştırma listesi (XSSRapid7 araştırmacısı Matthew Kienow tarafından keşfedilen ) kusurlar ise şu şekilde:
- CVE-2022-47412 – ONLYOFFICE Çalışma Alanı Araması Saklanan XSS
- CVE-2022-47413 ve CVE-2022-47414 – OpenKM Belgesi ve Uygulama XSS
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 ve CVE-2022-47418 – LogicalDOC Çoklu Kayıtlı XSS
- CVE-2022-47419 – Maya EDMS Etiketi Depolanmış XSS
Kalıcı XSS olarak da bilinen depolanmış XSS, kötü amaçlı bir komut dosyası doğrudan savunmasız bir web uygulamasına (örneğin, bir yorum alanı aracılığıyla) enjekte edildiğinde ortaya çıkar ve uygulamaya yapılan her ziyarette hileli kodun etkinleştirilmesine neden olur.
Bir tehdit aktörü, araya giren kişiye güvenliği ihlal edilmiş ağ üzerinde kontrollerini artırma yeteneği veren bir tuzak belge sağlayarak yukarıda belirtilen kusurlardan yararlanabilir.
Rapid7 araştırma direktörü Tod Beardsley, “Tipik bir saldırı modeli, yerel olarak oturum açmış bir yöneticinin kimliğinin doğrulandığı oturum tanımlama bilgisini çalmak ve bu oturum tanımlama bilgisini o kullanıcının kimliğine bürünerek yeni bir ayrıcalıklı hesap oluşturmak üzere yeniden kullanmak olacaktır.” söz konusu.
Alternatif bir senaryoda, saldırgan, rastgele komutlar enjekte etmek ve depolanan belgelere gizlice erişim elde etmek için kurbanın kimliğini kötüye kullanabilir.
Siber güvenlik firması, kusurların 1 Aralık 2022’de ilgili satıcılara bildirildiğini ve açıklamaları CERT Koordinasyon Merkezi (CERT/CC) ile koordine etmesine rağmen düzeltilmeden devam ettiğini kaydetti.
Etkilenen DMS kullanıcılarına, bilinmeyen veya güvenilmeyen kaynaklardan belgeleri içe aktarırken dikkatli davranmaları, ayrıca anonim, güvenilmeyen kullanıcıların oluşturulmasını sınırlamaları ve bilinen kullanıcılarla sohbet ve etiketleme gibi belirli özellikleri kısıtlamaları önerilir.