Giriş
Son günlerde, Samlify adlı popüler bir kimlik doğrulama kütüphanesinde, kritik bir güvenlik açığı keşfedilmiştir. Bu açık, kötü niyetli kişilerin admin kullanıcıları taklit etmesine olanak tanımaktadır. Keşfedilen bu açık, SAML yanıtlarına imzasız kötü niyetli iddialar eklenerek kullanıcının kimliğinin ele geçirilmesine dayanmaktadır. Samlify, Node.js uygulamalarında SAML SSO (Tek Oturum Açma) ve Single Log-Out (SLO) entegrasyonu için geliştiricilere yardımcı olan yüksek seviyeli bir kütüphanedir.
Samlify Kütüphanesi Hakkında
Samlify, bir dizi farklı kullanıcı senaryosuna uygun olarak tasarlanmıştır. SaaS platformları, iç araçlar için SSO uygulayan kuruluşlar ve kurumsal Kimlik Sağlayıcıları (IdP) ile entegrasyon yapan geliştiriciler tarafından geniş bir kullanım alanına sahiptir. Ayrıca, Azure AD veya Okta gibi platformlarla entegrasyonlar sağlamakta ve federatif kimlik yönetim senaryolarında yaygın olarak kullanılmaktadır. Sonuç olarak, npm üzerindeki indirme sayısı haftada 200.000’i aşmaktadır.
Keşfedilen Güvenlik Açığı
CVE-2025-47949 numarası ile takip edilen bu güvenlik açığı, Samlify’nin 2.10.0 sürümünden önceki tüm versiyonlarını etkilemektedir. CVSS v4.0 skoru 9.9 olan bu açığın, kimlik doğrulama sürecinde kritik bir zafiyet oluşturduğu bildirilmektedir. EndorLabs‘ın raporuna göre, Samlify, kullanıcının kimliğini belirten XML belgesinin doğru bir şekilde imzasının doğrulandığını belirtmektedir. Ancak, XML’in bir kısmından sahte iddiaların okunmasına devam etmektedir.
Kötü niyetli kişiler, geçerli bir imzalı SAML yanıtına ulaşarak ya bu yanıtı keserek ya da kamuya açık metadata kullanarak bunu değiştirebilmektedir. Saldırgan, geçerli ve imzalı olan XML belgesini ele geçirerek manipüle edebilmekte; bu aşamada kötü niyetli bir SAML iddiasını belgenin içine yerleştirmektedir.
Güvenlik Açığının Çalışma Prensibi
Saldırgan, orijinal belgeden alınan geçerli imzayı kullanarak, bu imzanın hala geçerli olduğu masum bir XML yapısını söz konusu etmektedir. Ancak, SP’nin (Servis Sağlayıcı) zayıf analiz mantığı, imzasız kötü niyetli iddiayı yanlışlıkla işlemektedir. Bu durum, tam bir SSO atlatma olayı olarak değerlendirilmektedir. Kötü niyetli kişilerin, uzaktan yetki yükseltmesi yaparak admin olarak giriş yapmalarına olanak tanımaktadır.
Saldırganın herhangi bir kullanıcı etkileşimine veya özel ayrıcalıklara ihtiyaç duymaması, bu açığın istismarını oldukça basit hale getirmektedir. Tek gereksinim, geçerli bir imzalı XML verisine erişim sağlamaktır. Bu durum, potansiyel saldırganların istismar için daha cesaretlendirmektedir.
Alınabilecek Önlemler
Kullanıcıların, bu tür güvenlik açıklarına karşı kendilerini korumaları için yapabilecekleri bazı önlemler bulunmaktadır. İlk olarak, Samlify kütüphanesinin en son sürümü olan 2.10.0‘a güncellenmesi önerilmektedir. Ancak, GitHub üzerinde hala 2.9.1’in en güncel sürüm olarak göründüğü unutulmamalıdır. Bununla birlikte, npm üzerinde güncel ve güvenli olan 2.10.0 sürümü bulunmaktadır.
Ayrıca, kullanıcıların sistemlerini güvende tutmaları için, belleklerde SAML yanıtlarının imzalarını düzenli olarak kontrol etmeleri ve XML yapılarını dikkatle incelemeleri gerekmektedir. Geçmişteki gibi yumuşak bir güvenlik anlayışının fazla riskli olduğu günümüzde, alınacak her türlü önlem büyük önem arz etmektedir.
Sonuç Olarak
Samlify’de bulunan CVE-2025-47949 güvenlik açığı, hem geliştiriciler hem de kullanıcılar için büyük bir tehdit oluşturmaktadır. Kötü niyetli kişiler, herhangi bir kullanıcı etkileşimi olmadan admin hesaplarını ele geçirebilmektedir. Bu nedenle, kullanıcıların dikkatli olması ve belirtilen önlemleri hemen uygulamaları büyük önem taşımaktadır. Zamanında güncellemeler ve proaktif güvenlik önlemleri ile bu tür tehditlerin önüne geçilmesi mümkündür.
