Fortra Filecatalyst iş akışı, uzaktan kumanda edilmemiş saldırganların haydut yönetici kullanıcıları oluşturmasına ve uygulama veritabanındaki verileri manipüle etmesine izin verebilecek bir SQL enjeksiyon güvenlik açığına karşı savunmasızdır.
FileCatalyst iş akışı, büyük dosya boyutlarını destekleyen web tabanlı bir dosya değişimi ve paylaşım platformudur. Dünya çapında kuruluşlar tarafından veri transferlerini hızlandırmak ve özel bulut alanlarında işbirliği yapmak için kullanılır.
CVE-2024-5276 olarak izlenen kritik (CVSS v3.1: 9.8) kırılganlık, 15 Mayıs 2024'te işlenebilir araştırmacılar tarafından keşfedildi, ancak dün halka açık hale getirildi.
Fortra, bir güvenlik bülteninde, kusurun yönetici kullanıcı oluşturma ve veritabanı manipülasyonuna izin verdiğini, ancak verileri çalmak için uygun olmadığını açıklıyor.
Fortra'nın bültenini, "Fortra Filecatalyst iş akışındaki bir SQL enjeksiyon güvenlik açığı, bir saldırganın uygulama verilerini değiştirmesine izin veriyor."
"Muhtemel etkiler arasında idari kullanıcıların oluşturulması ve uygulama veritabanındaki verilerin silinmesi veya değiştirilmesi yer alır. SQL enjeksiyonu yoluyla veri açığa çıkması bu güvenlik açığını kullanarak mümkün değildir."
Kusur, Filecatalyst iş akışını etkiler 5.1.6 Build 135 ve eski sürümleri oluşturur. Düzeltmeler, kullanıcılar için önerilen yükseltme hedefi olan Filecatalyst iş akışı 5.1.6 Build 139'da sunuldu.
Kimliksiz sömürü, hedef örnekte anonim erişimin etkinleştirilmesini de gerektirir. Aksi takdirde, CVE-2024-5276'dan yararlanmak için kimlik doğrulama gereklidir.
Tenable, 15 Mayıs 2024'te CVE-2024-5276'yı keşfetti ve ilk olarak sorunu 22 Mayıs'ta Fortra'ya açıkladı.
Eşzamanlı olarak Fortra'nın güvenlik bülteninin yayınlanmasıyla Tenable, anonim bir uzaktan saldırganın iş akışı web uygulamasının çeşitli URL uç noktalarında 'JobID' parametresi aracılığıyla SQL enjeksiyonunu nasıl gerçekleştirebileceğini gösteren istismarını yayınladı.
Sorun, 'FindJob' yönteminin, bir SQL sorgusundaki 'Where' maddesini oluşturmak için bir saldırganın kötü amaçlı kod eklemesine izin verecek şekilde girdiyi dezenfekte etmeden kullanıcı tarafından sağlanan bir 'JobID' kullanmasıdır.
Tenable'ın komut dosyası, FileCatalyst iş akışı uygulamasına anonim olarak oturum açar ve bilinen bir şifre ('Password123') ile yeni bir yönetici kullanıcısı ('operatör') eklemek için 'JobID' parametresi aracılığıyla bir SQL enjeksiyonu gerçekleştirir.
Sonunda, oturum açma belirtecini alır ve savunmasız uç noktada oturum açmak için yeni oluşturulan yönetici kimlik bilgilerini kullanır.
Sorunun aktif olarak sömürülmesi hakkında hiçbir rapor yoktu, ancak çalışan bir istismarın serbest bırakılması çok yakında değişebilir.
2023'ün başlarında, klop fidye yazılımı çetesi, ürünü kullanan yüzlerce organizasyona şantaj için veri hırsızlığı saldırılarında CVE-2023-0669 olarak izlenen bir Fortra Goany Where MFT sıfır gün güvenlik açığından yararlandı.
Kritik Veeam Auth Bypass için istismar mevcut, şimdi yama
Kritik İlerleme için İstismar Telerik Auth Bypass Serbest Bırakılan, Şimdi Yama
QNAP QTS Sıfır Günündeki Paylaşım Özelliği Halka Giriyor RCE istismar
Veeam Recovery Orchestrator Auth Bypass için istismar mevcut, şimdi yama
Maksimum Ceza Fortinet RCE Bug, Patch şimdi piyasaya sürülen istismar
Kaynak: Bleeping Computer