{"id":94578,"date":"2018-11-19T01:42:02","date_gmt":"2018-11-19T09:42:02","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94578"},"modified":"2018-11-19T01:42:02","modified_gmt":"2018-11-19T09:42:02","slug":"tehdit-ozeti-kritik-apache-struts-guvenlik-acigi-cve-2018-11776-hakkinda-bilgiler","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/tehdit-ozeti-kritik-apache-struts-guvenlik-acigi-cve-2018-11776-hakkinda-bilgiler\/?lang=tr","title":{"rendered":"TEHDIT \u00d6ZETI: KRITIK APACHE STRUTS G\u00dcVENLIK A\u00c7I\u011eI CVE-2018-11776 HAKKINDA BILGILER"},"content":{"rendered":"

Duruma Genel Bak\u0131\u015f<\/strong><\/p>\n

Apache Vakf\u0131 22 A\u011fustos 2018 g\u00fcn\u00fc, 2.3\u2019ten 2.3.34\u2019e ve 2.5\u2019ten 2.5.16\u2019ya kadar olan Apache Struts s\u00fcr\u00fcmlerini etkileyen uzaktan kod y\u00fcr\u00fctme g\u00fcvenlik a\u00e7\u0131\u011f\u0131\u00a0CVE-2018-1176<\/a><\/u> i\u00e7in kritik bir g\u00fcvenlik g\u00fcncellemesi \u00a0yay\u0131nlad\u0131<\/a><\/u>. Apache Vakf\u0131 herkesi g\u00fcvenlik g\u00fcncellemelerini bir an \u00f6nce uygulamaya te\u015fvik etti.<\/p>\n

Bu blog, kurulu\u015flar\u0131n g\u00fcvenlik a\u00e7\u0131\u011f\u0131 risklerini de\u011ferlendirmelerine yard\u0131mc\u0131 olacak bilgiler sunmakta ve Palo Alto Networks m\u00fc\u015fterilerini, kar\u015f\u0131la\u015ft\u0131klar\u0131 riskleri g\u00fcvenlik g\u00fcncellemelerini uygulayana kadar azaltmalar\u0131na yard\u0131mc\u0131 olacak koruma olanaklar\u0131 hakk\u0131nda bilgilendirmektedir. 24 A\u011fustos 20148 g\u00fcn\u00fc yay\u0131nlanan en son g\u00fcvenlik a\u00e7\u0131\u011f\u0131 imzalar\u0131n\u0131 y\u00fckleyen Palo Alto Networks m\u00fc\u015fterileri koruma alt\u0131ndad\u0131r.<\/p>\n

 <\/p>\n

G\u00fcvenlik A\u00e7\u0131\u011f\u0131 Bilgileri<\/strong><\/p>\n

Apache Vakf\u0131\u2019na ve g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131\u00a0Man Yue Mo<\/a><\/u>\u2019ya g\u00f6re, bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, Apache Struts\u2019\u0131n savunmas\u0131z s\u00fcr\u00fcm\u00fcn\u00fcn \u00e7al\u0131\u015ft\u0131\u011f\u0131 bir sunucuda uzaktan kod y\u00fcr\u00fctmeyi etkinle\u015ftirebilir. Sald\u0131r\u0131 y\u00f6ntemi, savunmas\u0131z sisteme g\u00f6nderilmi\u015f, \u00f6zel olarak olu\u015fturulmu\u015f bir URL yoluyla ger\u00e7ekle\u015fir. \u00c7o\u011fu vakada bu durum, g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 istismar etmek i\u00e7in kimlik do\u011frulamas\u0131 gerekmedi\u011fi anlam\u0131na gelmektedir.<\/p>\n

Ba\u015far\u0131l\u0131 bir sald\u0131r\u0131, Struts\u2019\u0131n kullanmakta oldu\u011fu g\u00fcvenlik ba\u011flam\u0131nda kod \u00e7al\u0131\u015ft\u0131r\u0131r. Baz\u0131 vakalarda, bu durum sistemin t\u00fcm\u00fcyle tehlikeye girmesine yol a\u00e7abilir.<\/p>\n

Ancak, varsay\u0131lan konfig\u00fcrasyonlarda g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n istismar edilebilir olmad\u0131\u011f\u0131n\u0131 ak\u0131lda tutmak \u00f6nemlidir. Sald\u0131r\u0131ya a\u00e7\u0131k bir sistem i\u00e7in a\u015fa\u011f\u0131daki iki ko\u015ful kar\u015f\u0131lanmal\u0131d\u0131r:<\/p>\n

Struts konfig\u00fcrasyonunda\u00a0alwaysSelectFullNamespace<\/a><\/u>\u00a0bayra\u011f\u0131 \u201cdo\u011fru\u201d olarak ayarlan\u0131r. (Not: Uygulaman\u0131z pop\u00fcler\u00a0Struts Convention eklentisini<\/a><\/u>\u00a0kullan\u0131yorsa, bayrak eklenti taraf\u0131ndan varsay\u0131lan olarak \u201cdo\u011fru\u201d olarak ayarlan\u0131r.<\/p>\n

Struts uygulamas\u0131, bir ad alan\u0131 belirtilmeden veya bir joker karakter ad alan\u0131yla konfig\u00fcre edilmi\u015f \u201ceylemler\u201d kullan\u0131r. Bu ko\u015ful, Struts konfig\u00fcrasyon dosyas\u0131nda belirtilmi\u015f eylemlere ve ad alanlar\u0131na uygulan\u0131r. NOT: Uygulaman\u0131z pop\u00fcler Struts Convention eklentisini kullan\u0131yorsa, bu ko\u015ful Java kodunda belirtilen eylemlere ve ad alanlar\u0131na da uygulan\u0131r.<\/p>\n

Struts uygulaman\u0131z bu ko\u015fullar\u0131n ikisini de kar\u015f\u0131lam\u0131yorsa, uygulaman\u0131z h\u00e2l\u00e2 sald\u0131r\u0131ya a\u00e7\u0131k olabilir ama\u00a0 CVE-2018-11776 yoluyla istismar edilmez (\u015fimdilik).<\/p>\n

\u00d6zellikle, uygulaman\u0131z pop\u00fcler Struts Convention eklentisini kullan\u0131yorsa, o eklentiyi kullanmayan di\u011fer Struts uygulamalar\u0131na k\u0131yasla istismar edilebilme riskinizi potansiyel olarak art\u0131rabilir.<\/p>\n

 <\/p>\n

Tehdit Ortam\u0131 Bilgisi<\/strong><\/p>\n

G\u00fcvenlik a\u00e7\u0131\u011f\u0131, 22 A\u011fustos\u2019ta bu tehdide y\u00f6nelik g\u00fcvenlik g\u00fcncellemeleriyle birlikte a\u00e7\u0131kland\u0131. G\u00fcvenlik a\u00e7\u0131\u011f\u0131yla ve nas\u0131l istismar edilece\u011fiyle ilgili ayr\u0131nt\u0131l\u0131 bilgi mevcuttur. Ayr\u0131ca, kullan\u0131labilir kavram kan\u0131t\u0131 (PoC) kodu da bulunmaktad\u0131r. Yukar\u0131da belirtildi\u011fi gibi, PoC yaln\u0131zca sald\u0131r\u0131ya a\u00e7\u0131k ve iki istismar edilebilme ko\u015fulunu da kar\u015f\u0131layan sistemlere kar\u015f\u0131 i\u015fe yarar.<\/p>\n

Daha \u00f6nceki bir kritik Struts g\u00fcvenlik a\u00e7\u0131\u011f\u0131na ge\u00e7en y\u0131l, g\u00fcvenlik g\u00fcncellemesi ve g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bilgisinin yay\u0131nlanmas\u0131ndan yaln\u0131zca \u00fc\u00e7 g\u00fcn sonra etkin olarak sald\u0131r\u0131ld\u0131\u011f\u0131n\u0131 bildirenler olmu\u015ftur.<\/p>\n

\u015eu anda bilinen etkin bir sald\u0131r\u0131 yoktur ve g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n istismar edilebilmesi i\u00e7in varsay\u0131lan olmayan iki ko\u015fulun kar\u015f\u0131lanmas\u0131 gerekti\u011fi ko\u015fulu, farkl\u0131 bir tehdit ortam\u0131na do\u011fru gitmektedir.<\/p>\n

Ancak etkin PoC\u2019nin kullan\u0131labilir olmas\u0131yla, yak\u0131n gelecekte bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n etkin istismar\u0131 yoksa, en az yoklamay\u0131 bekleyebiliriz.<\/p>\n

Kurulu\u015flar, d\u00f6rt \u015feye yama uygulayana kadar olas\u0131 sald\u0131r\u0131 i\u00e7in risk de\u011ferlendirmelerine odaklanmal\u0131d\u0131r:<\/p>\n