Amerikan Siber Güvenlik Ajansından Önlem Uyarısı
CISA (Cybersecurity and Infrastructure Security Agency) tarafından yapılan son açıklama, Erlang/Open Telecom Platform (OTP) ve Roundcube üzerindeki iki kritik zayıflığın varlığını ortaya koydu. Bu zayıflıkların aktif şekilde istismar edildiği tespit edilmiş ve bu nedenle CISA, söz konusu zayıflıkları Bilinen İstismar Edilen Zayıflıklar (KEV) kataloğuna eklemiştir. Özellikle, güvenlik zayıflıkları büyük bir tehlike arz ediyor ve kullanıcıların dikkatli olması gereken bir durum.
Zayıflıkların Detayları
İlk olarak ele alınan zayıflık ise CVE-2025-32433 (CVSS puanı: 10.0) olarak biliniyor. Bu zayıflık, Erlang/OTP SSH sunucusundaki kritik bir işlev için eksik kimlik doğrulama nedeniyle oluşmaktadır. Bu durum, bir saldırganın geçerli kimlik bilgileri olmadan rastgele komutlar çalıştırmasına ve dolayısıyla kimlik doğrulaması yapılmamış uzaktan kod yürütmesine olanak tanımaktadır. Bu zayıflık, Nisan 2025 tarihinden itibaren OTP-27.3.3, OTP-26.2.5.11 ve OTP-25.3.2.20 sürümlerinde düzeltildi.
İkinci zayıflık ise CVE-2024-42009 (CVSS puanı: 9.3) adını taşımaktadır. Bu zayıflık, RoundCube Webmail’e yönelik bir cross-site scripting (XSS) zayıflığıdır. Saldırgan, belirli bir e-posta mesajıyla, kurbanın e-postalarını çalmaya ve göndermeye yönelik bir saldırı gerçekleştirebilir. Bu zayıflık, 2024 yılının Ağustos ayında 1.6.8 ve 1.5.8 sürümlerinde düzeltildi.
Aktif İstismar Durumu
CISA’nın yaptığı açıklamalara göre, mevcut durumda bu zayıflıkların nasıl ve kimler tarafından istismar edildiğine dair detaylar henüz bulunmamaktadır. Geçtiğimiz ay, ESET tarafından yapılan bir araştırmada, Rusya ile bağlantılı APT28 adlı tehdit aktörünün Roundcube gibi platformlardaki birçok XSS zayıflığını kullanarak Doğu Avrupa’daki hükümet kuruluşlarına ve savunma şirketlerine yönelik saldırılar düzenlediği belirtilmiştir. Ancak CVE-2024-42009’un bu aktivitelerle ilişkili olup olmadığı ise belirsizliğini korumaktadır.
Önlem Alınması Gerekenler
Censys verilerine göre, 340 adet Erlang sunucusu ifşa olmuştur. Ancak, bu sunucuların her birinin mutlaka zayıflığa maruz kalacağı kesin değildir. CVE-2025-32433 zayıflığının kamuya açıklanması sonrasında, bu zayıflığı istismar etmek için bir dizi kanıt-of-concept (PoC) açığı yayınlanmıştır. Böylelikle, bu zayıflığın tehlikesi daha belirgin hale gelmiştir.
Federal Sivil İcra Dairesi (FCEB) ajanslarının, bu zayıflıkların aktif bir şekilde istismar edilmesi nedeniyle, 30 Haziran 2025 tarihine kadar gerekli düzeltmeleri uygulamaları zorunludur.
WordPress’teki Diğer Zayıflıklar
Bu gelişmelerin yanı sıra, Patchstack da WordPress için PayU CommercePro eklentisinde düzeltilememiş bir hesap ele geçirme zayıflığını (CVE-2025-31022, CVSS puanı: 9.8) gündeme getirmiştir. Bu zayıflık, bir saldırganın herhangi bir internet sitesi kullanıcısının hesabını kimlik doğrulaması olmadan ele geçirmesine olanak tanımaktadır. Bu durumun sonuçları ciddi olabilir. Saldırgan, bir yönetici hesabını ele geçirdiğinde, siteyi kontrol altına alabilir ve kötü niyetli eylemler gerçekleştirebilir. Zayıflık, 3.8.5 ve öncesindeki sürümleri etkilemektedir.
Zayıflığın kaynağı, "update_cart_data()" adlı bir fonksiyondur. Bu fonksiyon, geçerli bir e-posta adresinin mevcut olup olmadığını kontrol eden "/payu/v1/get-shipping-cost" adlı bir uç noktadan tetiklenmektedir. Eğer e-posta adresi mevcutsa, e-ticaret siparişi ödeme için işlenir.
Ancak, uç nokta "commerce.pro@payu[.]in" e-posta adresi ile bağlantılı bir geçerli token kontrolü yapmaktadır. Bu durum, başka bir REST API aracılığıyla belirli bir e-posta için bir kimlik doğrulama token’ı elde edilmesini kolaylaştırmaktadır. Saldırgan, bu davranışı kullanarak "commerce.pro@payu[.]in" e-posta adresine karşılık gelen token’ı elde edebilir ve "/payu/v1/get-shipping-cost" isteminde bulunarak herhangi bir hesabı ele geçirebilir.
Kullanıcı Tavsiyesi ve Önleyici Önlemler
Kullanıcılara, bu zayıflıktan faydalanılmasını önlemek amacıyla eklentiyi devre dışı bırakmaları ve silmeleri önerilmektedir. Patchstack, "Kimlik doğrulama gerektirmeyen REST API uç noktalarının fazla izin verici olmamasını sağlamak ve kod tabanında e-posta adresleri gibi hassas bilgilerin hard-coding yapılarak kullanılmasının önerilmediğini" belirtmiştir.
Bu tür zayıflıklar, siber güvenlik açısından ciddi tehditler oluşturabilir ve kullanıcıların dikkatli olması salık verilmektedir. Siber güvenlik konusunda alınacak önlemler, hem bireysel hem de kurumsal hesapların güvenliği için son derece önemlidir.
