Genel Siber Güvenlik

Açık Kaynak CasaOS Bulut Yazılımında Ortaya Çıkan Kritik Açıklar

Byteknomers

Eki 18, 2023 #Açık, #açıklar, #ağ güvenliği, #bilgi Güvenliği, #bilgisayar Güvenliği, #bulut, #CasaOS, #Çıkan, #fidye yazılımı kötü amaçlı yazılım, #hack haberleri, #hacker haberleri, #kaynak, #Kritik, #Nasıl heklenir, #ortaya, #siber güncellemeler, #siber güvenlik güncellemeleri, #siber güvenlik haberleri, #Siber güvenlik haberleri bugün, #Siber Haberler, #siber saldırılar, #veri ihlali, #yazılım güvenlik açığı, #Yazılımında


17 Ekim 2023Haber odasıGüvenlik Açığı / Siber Tehdit

Açık kaynakta iki kritik güvenlik açığı keşfedildi CasaOS Kişisel bulut yazılımı, saldırganlar tarafından keyfi kod yürütmeyi gerçekleştirmek ve duyarlı sistemleri ele geçirmek için başarıyla kullanılabilir.

Şu şekilde izlenen güvenlik açıkları: CVE-2023-37265 Ve CVE-2023-37266Her ikisi de maksimum 10 üzerinden 9,8 CVSS puanına sahiptir.

Hataları keşfeden sonar güvenlik araştırmacısı Thomas Chauchefoin, söz konusu “saldırganların kimlik doğrulama gereksinimlerini aşmalarına ve CasaOS kontrol paneline tam erişim elde etmelerine olanak tanıyor.”

Daha da kötüsü, CasaOS’un üçüncü taraf uygulamalarına yönelik desteği, cihaza kalıcı erişim sağlamak veya dahili ağlara geçiş yapmak için sistemde rastgele komutlar çalıştıracak şekilde silah haline getirilebilir.

3 Temmuz 2023’teki sorumlu açıklamanın ardından kusurlar şu şekilde giderildi: sürüm 0.4.4 bakımcıları IceWhale tarafından 14 Temmuz 2023’te piyasaya sürüldü.

İki kusurun kısa bir açıklaması aşağıdaki gibidir:

  • CVE-2023-37265 – Kaynak IP adresinin yanlış tanımlanması, kimliği doğrulanmamış saldırganların CasaOS örneklerinde kök olarak rastgele komutlar yürütmesine olanak tanıyor
  • CVE-2023-37265 – Kimliği doğrulanmamış saldırganlar isteğe bağlı JSON Web Belirteçleri oluşturabilir (JWT’ler) ve kimlik doğrulaması gerektiren özelliklere erişin ve CasaOS örneklerinde kök olarak isteğe bağlı komutları yürütün

Yukarıda belirtilen kusurların başarılı bir şekilde kullanılması, saldırganların kimlik doğrulama kısıtlamalarını aşmasına ve savunmasız CasaOS örneklerinde yönetici ayrıcalıkları kazanmasına olanak tanıyabilir.

Chauchefoin, “Genel olarak, uygulama katmanında IP adreslerinin belirlenmesi riske açıktır ve güvenlik kararları için buna güvenilmemelidir” dedi.

“Birçok farklı başlık bu bilgiyi taşıyabilir (X-Forwarded-For, Forwarded, vb.) ve dil API’lerinin bazen HTTP protokolünün nüanslarını aynı şekilde yorumlaması gerekir. Benzer şekilde, tüm çerçevelerin kendi tuhaflıkları vardır ve yanıltıcı olabilir Bu yaygın güvenlik silahları hakkında uzman bilgisi olmadan gezinmek.”



siber-2

By teknomers

Benzer İçerikler

Genel

Bu Lego varış takvimi fırsatıyla Noel’e erken hazırlanın

Eyl 24, 2024 teknomers
Genel

GeForce RTX 4070 ve RTX 4070 Super’in fiyatı %30 düştü. Mevcut kartlar, RTX 50 duyurusu öncesinde Birleşik Krallık’ta tükeniyor gibi görünüyor

Eyl 24, 2024 teknomers
Genel Oyun

Sevilen kooperatif oyunu Remnant 2 son DLC’yi ve büyük güncellemeyi aldı

Eyl 24, 2024 teknomers

İlginizi Çekebilir

Liste

Toplam 24 Saate Kadar Pil Ömrü Olan Audio-Technica ATH-TWX7 Hindistan’da Piyasaya Sürüldü: Fiyat, Özellikler

24 Eylül 2024 teknomers
Liste

Terminator yönetmeni James Cameron, Stability AI yönetim kuruluna katıldı

24 Eylül 2024 teknomers
Liste Telefon

Spotify, AI Çalma Listesi özelliğini daha fazla ülkeye genişletiyor

24 Eylül 2024 teknomers
Liste

Arlo güvenlik kameraları yeni yüz ve araç tanıma yeteneklerine kavuşuyor

24 Eylül 2024 teknomers