.NET SOAPwn Açığı ve Tehditler
Giriş
Son zamanlarda yapılan araştırmalar, .NET Framework’teki bir açığın, kurumsal düzeydeki uygulamalara uzaktan kod yürütme potansiyeli sunduğunu ortaya koydu. WatchTowr Labs tarafından “SOAPwn” olarak adlandırılan bu güvenlik açığı, özellikle Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) ve Umbraco 8 gibi uygulamaları etkiliyor. Ancak, .NET’in yaygın kullanımı göz önüne alındığında, etkilenen sağlayıcıların sayısı daha fazla olabilir.
SOAPwn Açığının Özellikleri
WSDL İthali ve HTTP İstemci Proxileri
SOAPwn açığı, saldırganların Web Services Description Language (WSDL) ithal etmelerini ve HTTP istemci proxy’lerini kullanarak arzu edilen kodu çalıştırmalarına olanak tanır. Bu, özellikle SOAP (Simple Object Access Protocol) mesajlarının işlenmesindeki hatalardan kaynaklanmaktadır.
Güvenlik araştırmacısı Piotr Bazydlo, bu açığın “daha çok dinamik olarak saldırganın kontrolündeki WSDL’lerden oluşturulan SOAP istemcileri aracılığıyla kullanılabildiğini” belirtmektedir.
Dosya Sistemi Manipülasyonu
.NET Framework HTTP istemci proxy’leri, dosya sistemi işleyicilerini kullanacak şekilde manipüle edilebilir. Bu, bir SOAP istemci proxy’sine “file://<saldırgan-kontrolündeki-giriş>” şeklinde bir URL geçildiğinde gerçekleşir. Bu durum, saldırganın tam yazma yolunu kontrol edebilmesi nedeniyle var olan dosyaların üzerine yazılmasına neden olabilir.
Hücum Senaryosu
Bir saldırgan, bu davranışı kullanarak bir Universal Naming Convention (UNC) yolunu sağlamak suretiyle, SOAP isteğinin kendi kontrolünde olan bir SMB paylaşımına yazılmasına neden olabilir. Bu durum aynı zamanda bir NTLM zorluğunu yakalayarak kırmayı mümkün kılar.
Ekstra Sömürü Vektörleri
Araştırmalar, WSDL dosyalarından HTTP istemci proxy’leri oluşturan uygulamalarda daha güçlü bir sömürü vektörünün de bulunabileceğini ortaya koymuştur. Bu durumda, saldırganın kendi kontrolündeki WSDL dosyasına yönlendiren bir URL sağlaması yeterlidir. Bu, uzaktan kod yürütme gerçekleşmesine olanak tanır; bu da bir ASPX web shell veya PowerShell script’lerinin yüklenmesini içerir.
Microsoft’un Yanıtı ve Yamanmayan Açık
Microsoft, bu açığın sorumlu olarak bildirildiği tarihlere rağmen düzeltme yapmama kararı almıştır. Şirket, sorunun bir uygulama problemi veya davranışından kaynaklandığını ve “kullanıcıların, kod üretebilecek ve çalıştırabilecek güvenilmez girdileri tüketmemesi gerektiğini” belirtmiştir.
Sonuç
Bu bulgular, popüler bir çerçevenin beklenen bir davranışının, NTLM ile yönlendirme veya rastgele dosya yazma yoluyla potansiyel bir istismar yolu haline gelebileceğini göstermektedir. Barracuda Service Center RMM ve Ivanti EPM, bu güvenlik açığını kapatacak güncellemeleri yayınlamıştır. Bu durum, uygulamaların güvenliğini artırmak için gerekli adımların atılması gerektiğini vurgulamaktadır.
Saldırganların belirli yollardan yararlanarak sistemlere girmesi ve zararlı yazılımlar yüklemesi, kurumsal güvenlik açıklarını daha da derinleştirmektedir. Kurumların bu tür güvenlik açıklarına karşı proaktif adımlar atmaları büyük önem taşımaktadır.
