Apache OpenMeetings açık kaynaklı Web konferansı uygulamasındaki üç ayrı güvenlik açığı, tehdit aktörlerinin bir kullanıcı hesabını ele geçirmesine, yönetici ayrıcalıkları kazanmasına ve nihayetinde uygulamayı çalıştıran bir sunucuda rasgele kod yürütmesine izin veren bir saldırı zincirinde bir araya getirilebilir.
OpenMeetings, görüntülü aramalar, sunumlar ve diğer ortak çalışma için kullanılabilir ve hem bulut hem de kurum içi kurulumlarda on binlerce kuruluşta yaygın olarak dağıtılır.
SonarSource tehdit araştırmacısı Stefan Schiller, Perşembe günü üçlü tehdidi ortaya çıkaran bir rapordaki kusurları özetledi: CVE-2023-28936 kapsamında izlenen zayıf bir karma karşılaştırma hatası; CVE-2023-29023 kapsamında izlenen davet karma yoluyla sınırsız erişim; ve CVE-2023-29246 altında izlenen bir boş bayt enjeksiyon hatası.
Kullanıcılardan, OpenMeetings’i üç kusur için de bir düzeltme içeren 7.1.0 sürümüne güncellemesi isteniyor.
OpenMeetings’in Zayıf Hash Karşılaştırması Saldırı Zincirini Başlatıyor
Uygulamanın oda oluşturma ve davet sürecinde üçlü sorun mevcuttur. Schiller raporda, her yeni OpenMeetings daveti gönderildiğinde, bir kullanıcının başka bir kullanıcıyı davet edebileceği ayrı bir sanal “oda” oluşturulduğunu açıkladı. Hem oda hem de kullanıcı, hem kullanıcı hem de oda için benzersiz olan, rastgele oluşturulmuş hash’ler alır.
Bu süreçteki ilk delik olan zayıf hash karşılaştırması, bir OpenMeetings davetine yetkisiz erişim sağlamak için kullanılabilir.
Schiller, Dark Reading’e “Davet karması, gizli olması gereken uzun bir değerdir (örneğin, 3c6a04c8-f935-4226-90f9-34adbd7b4c2d),” diye açıklıyor. “Yalnızca bu değeri bilen biri bu daveti kullanabilir. Ancak bir saldırgan bir daveti kullanmaya çalışırken bir joker karakter araması kullanırsa (örneğin, %3, bu da ‘3. karakterle başlayan davet karmasını kullan’ anlamına gelir), saldırgan uzun gizli değeri bilmeden bu daveti kolayca kullanabilir.”
Bu durumda, kimlik doğrulamanın gerekli olmadığına dikkat çekiyor.
Saldırgan daveti devralıp odaya girdiğinde, ikinci hata saldırganların “zombi odaları” oluşturmasına olanak tanır. İlk güvenlik açığıyla birleştiğinde bu, ayrıcalıkları yükseltmeye ve uzaktan kod yürütmeye giden yolu oluşturur.
OpenMeetings Zombie Rooms’tan Yararlanma
Schiller kaydetti analizde “saldırganlar, kendisine atanmış bir oda olmadan bir oda davetiyesi oluşturmak için belirli eylemleri beklenmedik bir sırayla tetikleyebilir. Bu, herhangi bir kullanıcı hesabına erişim için sınırsız bir davetle sonuçlanır.”
SonarSource raporuna göre bu “beklenmedik düzen” şöyle işliyor: Bir siber saldırgan bir etkinlik oluşturabilir, ardından etkinlikle ilişkili odaya katılabilir ve odada kalırken etkinliği silebilir.
Schiller, “İlişkili olayı silindiğinde oda da silinse de, odadaki saldırganın varlığı burayı bir zombi odası yapar,” diye yazdı. “Ardından, saldırgan yönetici kullanıcı için bu odaya bir davetiye oluşturur.”
İkinci kusur nedeniyle, ekli odası olmayan bir daveti olan bir kullanıcının tüm uygulamaya sınırsız erişimi vardır. Tehdit aktörleri, yukarıda özetlenen süreçle az önce oluşturdukları yönetici davetini devralabilir ve bu da yükseltilmiş ayrıcalıklarla sonuçlanır. Böylece, ayarları ve daha fazlasını değiştirme yeteneği kazanıyorlar, diye açıklıyor Schiller, Dark Reading’e.
Schiller, “Bir davetiye oluşturmak için (örneğin, yönetici kullanıcıyı ayrıcalıklarını elde etmeye davet etmek için) kayıtlı bir kullanıcı gereklidir” diye ekliyor. “Varsayılan olarak, herkes bir kullanıcıyı kaydedebilir, bu da bunu bir saldırgan için bir engel haline getirmez.”
Oradan, yönetici haklarına sahip olan saldırgan, OpenMeetings’in barındırıldığı tam sunucuya kaçmak ve uzaktan kod yürütmek için üçüncü hatayı kullanabilir.
Schiller, “Üçüncü güvenlik açığından yararlanıldığında, bir saldırganın hedeflenen sunucuya tam erişimi olur” diye uyarıyor. “Bu erişim, OpenMeetings uygulamasıyla sınırlı değildir. Bunun yerine, saldırgan sunucuda depolanan tüm verilere erişebilir, kötü amaçlı yazılımlar (örneğin kripto madencileri) yükleyebilir ve dahili ağa dönebilir.”
OpenMeetings’e Şimdi Yama Yapın
piyasaya sürülmesiyle Açık Toplantılar 7.1.0, Apache, zayıflıkları gidermek için davet sağlamaları, kullanıcı izinleri, yönetici yolları ve daha fazlasında güvenlik iyileştirmeleri kaydetti. Yamalar uyuyacak yamalar değil: Resmi liman işçisi resmi 50.000’den fazla kez indirildi ve OpenMeetings, Jira, Confluence veya Drupal gibi uygulamalar için bir eklenti olarak da konuşlandırılabilir. Kapsam alanı ve uzaktan çalışma çağında ortak çalışma uygulamalarının artan kullanımı, siber tehdit aktörleri için güçlü birer cazibe unsuru.
Analiz, “Yaygın olarak benimsenmesi ve hassas tartışmalar, toplantılar ve işbirlikleri için kullanılabileceği gerçeği, onu saldırganlar için çekici bir hedef haline getiriyor” uyarısında bulundu.