Açık kaynaklı güvenlik açığı tarayıcı çekirdeğindeki şimdi sabit bir güvenlik açığı, potansiyel olarak saldırganların imza doğrulamasını atlamasına izin verirken, kötü niyetli kodları yerel sistemlerde yürütülen şablonlara gizlice sokabilir.
Nuclei, web sitelerini güvenlik açıkları ve diğer zayıflıklar için tarayan ProjectDiscovery tarafından oluşturulan popüler bir açık kaynaklı güvenlik açığı tarayıcısıdır.
Proje, bilinen güvenlik açıkları, yanlış yapılandırmalar, açık yapılandırma dosyaları, webshells ve backdoors için web sitelerini tarayan 10.000'den fazla YAML şablonundan oluşan şablon tabanlı bir tarama sistemi kullanır.
YAML şablonları ayrıca, bir şablonun işlevselliğini genişleten bir cihazda yerel olarak komutları veya komut dosyalarını yürütmek için kullanılabilen bir kod protokolü içerir.
Her şablon, çekirdeklerin şablonun kötü amaçlı kod içerecek şekilde değiştirilmediğini doğrulamak için kullandığı bir sindirim karması ile "imzalanır".
Bu sindirim karması şablonların altına aşağıdakiler şeklinde eklenir:
CVE-2024-43405 olarak izlenen yeni bir çekirdek güvenlik açığı, Wiz'deki araştırmacılar tarafından, bir şablon kötü amaçlı kod içerecek şekilde değiştirilmiş olsa bile Nuclei'nin imza doğrulamasını atlayan keşfedildi.
Kusur, Go Regex tabanlı bir imza doğrulaması ve YAML ayrıştırıcısının imzayı doğrularken nasıl satır kırıldığından kaynaklanır.
Bir imzayı doğrularken, Go'nun doğrulama mantığı aynı çizginin bir parçası olarak ikram eder. Ancak, YAML ayrıştırıcısı bunu bir çizgi molası olarak yorumlar. Bu uyumsuzluk, saldırganların doğrulamayı atlayan ancak YAML ayrıştırıcısı tarafından işlendiğinde hala yürütülen kötü niyetli içerik enjekte etmesine izin verir.
Başka bir sorun, çekirdeklerin birden fazla # özet: imza satırlarını nasıl işlediğidir, çünkü işlem sadece # özetin ilk oluşumunu kontrol eder: bir şablonda, şablonda daha sonra bulunan ek olanları yok sayar.
Bu, ek kötü amaçlı "# özet:" yükler eklenerek kullanılabilir. Kötü amaçlı "kod" bölümü içeren ilk geçerli özetten sonra, daha sonra şablon kullanıldığında enjekte edilir ve yürütülür.
Wiz araştırmacısı Goldenberg, "Uyuşmayan NewLine yorumları hakkındaki bilgilerle donanmış, Go'nun Regex uygulaması ile YAML ayrıştırıcısı arasındaki eşitsizliği kullanan bir şablon hazırladık."
"\ R bir çizgi molası olarak kullanarak, şablona imza doğrulama sürecinden kaçan ancak YAML tercümanı tarafından ayrıştırılan ve yürütülen ikinci bir# Digest: satır ekleyebiliriz."
Wiz sorumlu bir şekilde 14 Ağustos 2024'te ProjectDiscovery'ye karşı kusur açıkladı ve 4 Eylül'de çekirdek v3.3.2'de sabitlendi.
Nuclei'nin eski sürümlerini kullanıyorsanız, bu hatanın teknik ayrıntılarının herkese açık olarak açıklandığı için en son sürümü güncellemeniz şiddetle tavsiye edilir.
Goldenberg ayrıca, kötü niyetli şablonlardan potansiyel sömürü önlemek için çekirdeklerin sanal bir makinede veya izole ortamda kullanılmasını önerir.
Savunmasız Moxa Cihazları, endüstriyel ağları saldırılara maruz bırakır
Bilgisayar korsanları, ters kabukları açmak için dört inançlı yönlendirici kusurunu kullanır
Bilgisayar korsanları Palo Alto Networks Güvenlik Duvarlarını Devre Dışı Bırakmak İçin DOS KURULU
Apache, Mina'daki kritik kusurları uyarıyor, devasa, trafik kontrolü
Apache, Tomcat Web Server'da Uzak Kod Yürütme Bypass'ı düzeltiyor
Kaynak: Bleeping Computer