SAP GUI Güvenlik Açıkları ve Önemi
Son dönemlerde siber güvenlik alanında dikkat çeken gelişmelerden biri, SAP Graphical User Interface (GUI) üzerinde tespit edilen iki kritik güvenlik açığıdır. Bu açıklar, siber güvenlik araştırmacıları tarafından açıklanmış ve SAP tarafından yapılan Ocak 2025 güncellemeleri ile kapatılmıştır. Açıklar, CVE-2025-0055 ve CVE-2025-0056 olarak adlandırılmıştır ve toplamda 6.0’lık bir CVSS skoru almıştır.
Araştırmalar, SAP GUI’nin giriş geçmişi özelliğinin, hem Java hem de Windows versiyonları için güvenli bir şekilde depolanmadığını göstermektedir. Bu özellik, kullanıcıların daha önce girdikleri verileri hızlı bir şekilde tekrar kullanabilmelerini sağlamaktadır. Ancak, kullanıcı adı, kimlik numarası, sosyal güvenlik numarası gibi hassas bilgilerin yer aldığı bu geçmişin güvenliği, önemli bir sorun teşkil etmektedir.
Güvenlik Açıklarının Teknik Detayları
SAP GUI kullanıcı geçmişi, yerel cihazlarda saklanmaktadır. Bu, çeşitli platformlarda değişiklik göstermektedir. Örneğin, SAP GUI için Windows kullanıcıları, %APPDATA%LocalLowSAPGUICacheHistorySAPHistory.db dosyasında verilere ulaşırken; Java versiyonu kullanıcıları ise %APPDATA%LocalLowSAPGUICacheHistory dosyasına ya da $HOME/.SAPGUI/Cache/History (Windows veya Linux) ve $HOME/Library/Preferences/SAP/Cache/History (macOS) gibi dizinlerde verilere erişmektedir.
Bu açıkların temelinde, SAP GUI için Windows versiyonunda kullanılan zayıf XOR tabanlı şifreleme yer almakta. Bu şifreleme ile veriler, çok basit bir şekilde çözümlenebilmektedir. Diğer taraftan, SAP GUI Java versiyonu ise geçmiş verileri şifrelenmeden saklamaktadır. Sonuç olarak, her iki durumda da, önceki kullanıcı girişlerine bağlı olarak ortaya çıkan bilgiler hassasiyet seviyesi yüksek olabilmektedir.
Jonathan Stross, bu konuda "Bilgisayara erişimi olan herhangi biri, geçmiş dosyasına ve içinde saklanan hassas bilgilere ulaşabilir," demektedir. Bu durum, USB Rubber Ducky gibi HID enjeksiyon saldırıları veya phishing ile veri sızıntısının gerçek bir tehdit haline geldiğini göstermektedir.
Açıkların Önlenmesi İçin Alınacak Önlemler
SAP GUI üzerindeki bu güvenlik açıklarından korunmak için çeşitli önlemler alınması önerilmektedir. İlk olarak, giriş geçmişi işlevinin devre dışı bırakılması ve mevcut veritabanı veya serileştirilmiş nesne dosyalarının ilgili dizinlerden silinmesi en etkili yöntemlerden biridir. Bu sayede, sistemin güvenliği artırılabilir ve veri sızıntıları önlenebilir.
Citrix’ün Kritik Güvenlik Açığına Yönelik Yaması
Aynı dönemde, Citrix de kritik düzeyde bir güvenlik açığı olan CVE-2025-5777‘yi patch’lemiştir. Bu açık, NetScaler sistemlerinde bulunmakta ve 9.3’lük bir CVSS skoru alarak ciddi bir tehdidi ifade etmektedir. Yetersiz girdi doğrulaması nedeniyle, kötü niyetli aktörler geçerli oturum belirteçlerini hafızadan alarak kimlik doğrulama korumalarını aşabilmektedir.
Bu güvenlik açığı, sadece Gateway veya AAA sanal sunucusu olarak yapılandırıldığında çalışmakta ve saldırganlar için büyük bir fırsat sunmaktadır. Güvenlik araştırmacısı Kevin Beaumont, bu açığı Citrix Bleed 2 olarak adlandırmakta ve mevcut durumu ile önceki CVE-2023-4966 açığına benzer olduğunu ifade etmektedir.
Citrix, NetScaler kullanıcılarına şunları tavsiye etmektedir:
- kill icaconnection -all
- kill pcoipConnection -all
Ayrıca, kullanıcıların artık desteklenmeyen 12.1 ve 13.0 sürümlerinden güncellenmesi gerektiği belirtilmektedir.
Geleceğe Dair Öngörüler ve Risk Yönetimi
CVE-2025-5777’nin henüz istismar edilip edilmediğine dair net bir delil bulunmamakta ancak, bu açık çeşitli tehditler için ilgi çekici bir hedef haline gelmiştir. watchTowr CEO’su Benjamin Harris, bu açığın CitrixBleed kadar ciddi olduğunu ve potansiyel olarak kullanıcılara zarar verebileceğini belirtmektedir.
Gelecek dönemde, bu tür açıkların artması ve daha fazla kullanıcı verisinin suistimal edilme riski, organizasyonlar için büyük bir tehdit oluşturmaktadır. Bu nedenle, kurumların siber güvenlik önlemlerini sürekli olarak güncellemeleri ve tehditlere karşı proaktif bir yaklaşım benimsemeleri büyük önem taşımaktadır.
