CVE NO: CVE-2023-49950
ETKİLENEN ÜRÜN: Logpoint SIEM
ETKİLENEN VERSİYON: 6.10.0 – 7.x (7.3.0 öncesi)
Logpoint SIEM Nedir? Ne için Kullanılır?
Logpoint SIEM (Security Information and Event Management), kuruluşların güvenlik tehditlerini, güvenlik olaylarını izlemek, analiz etmek ve bu olaylara yanıt vermek için kullandıkları bir yazılım çözümüdür. Temel olarak, güvenlikle ilgili veri ve olayların toplanması, analizi ve raporlanması için tasarlanmıştır.
Güvenlik Açıkları Hakkında
Logpoint SIEM’deki tespit edilen güvenlik açığı, sistemin Jinja şablonlama motorunun, Alert (Uyarı) görünümünde gösterilen günlük verileriyle ilgili olarak, özel Jinja şablonları kullanıldığında, bu verileri doğru şekilde sterilize etmemesiyle ilgilidir. Bu durum, saldırganların, SIEM sistemine log gönderen herhangi bir kaynaktan, özel olarak hazırlanmış XSS yüklerini gönderme fırsatı bulmasına sebep olur. Uyarı mekanizması tetiklendiğinde, bu yük, kullanılan Jinja şablonu ile birlikte görüntülenen uyarı verileri üzerinde çalıştırılarak, hassas bilgilerin ifşa edilmesine yol açabilir.
Bu açıdan bakıldığında, güvenlik zafiyeti; saldırganların, hassas bilgilere erişim elde etmelerine, etkilenen sistemler üzerinde uzaktan kod yürütme (RCE) saldırıları gerçekleştirmelerine ve bu sistemleri kontrol altına almalarına olanak tanır. Saldırganlar, XSS yüklerini, özel olarak düzenlenmiş Jinja şablonları aracılığıyla enjekte edebilirler. Bu yükler, uyarılar oluşturulduğunda, yürütülür ve JavaScript kodunun çalıştırılmasını sağlayarak, veri ihlallerine veya RCE saldırıları gibi ciddi güvenlik tehditlerine neden olabilir.
Bu güvenlik açığının temelinde yatan faktörler arasında, Jinja2 şablon oluşturma motorunun kullanımı, jQuery JavaScript kitaplığının varsayılan olarak web kullanıcı arayüzü tarafından yüklenmesi, İçerik Güvenliği Politikası’nın (CSP) güvenli olmayan komut dosyalarının yürütülmesine izin verecek şekilde yetersiz yapılandırılması ve ham günlüklerin, belirtilen şablonlar tarafından kullanılan ortak alanlara göre normalleştirilmesi gibi faktörler bulunmaktadır.
Zafiyet ile ilgili PoC yayınlanmıştır.
Çözüm
Logpoint, kullanıcılara v7.3.0 ve üzeri versiyonlara yükseltmelerini tavsiye etmektedir.
Referanslar
https://vuldb.com/?id.252797
https://nvd.nist.gov/vuln/detail/CVE-2023-49950
https://github.com/shrikeinfosec/cve-2023-49950/blob/main/cve-2023-49950.md
