Linux için zscaler Güvenlik Açığının
(CVE-2023-28796)
Pen Test Örneği ile İncelenmesi
CVE-2023-28796, Linux işletim sistemleri için Zscaler Client Connector'da bulunan bir güvenlik açığıdır. Güvenlik açığı, kod eklemeye izin veren kriptografik imzaların hatalı şekilde doğrulanmasından kaynaklanmaktadır. Bu güvenlik açığı, 1.3.1.6'dan önceki Linux sürümleri için Zscaler Client Connector'ı etkilemektedir. Güvenlik açığının ciddiyeti CVSS 3.x ölçümlerine göre 7,8 temel puanla yüksektir.
Linux için Zscaler Client Connector, Linux işletim sistemlerinde Zscaler bulut güvenlik platformuna güvenli erişim sağlayan bir yazılımdır. Hem Z-Tunnel 1.0 hem de Z-Tunnel 2.0 için Zscaler İnternet Erişimini (ZIA) ve ayrıca Zscaler Özel Erişimi (ZPA) destekler. Linux için Zscaler Client Connector, Zscaler Client Connector Portal'daki Client Connector Uygulama Mağazasından indirilebilir.
Linux için Zscaler Client Connector'daki güvenlik açığı, bir saldırganın mevcut süreç bağlamında rastgele kod yürütmesine olanak tanıyor. Bu, sistemin tamamen tehlikeye girmesine ve hassas verilerin çalınmasına veya değiştirilmesine yol açabilir. Güvenlik açığını azaltmak için Linux için Zscaler Client Connector'ın 1.3.1.6 veya sonraki bir sürüme güncellenmesi önerilir.
Penetrasyon test uzmanları, mevcut süreç bağlamında rastgele kod yürütmek için Linux için Zscaler Client Connector'daki CVE-2023-28796 güvenlik açığından yararlanabilir. Güvenlik açığının etkisini göstermek için aşağıdaki adımlar atılabilir:
Penetrasyon test cihazı, Linux için Zscaler Client Connector'ın 1.3.1.6 sürümünden önceki güvenlik açığı bulunan sürümünü indirebilir.
Sızma test cihazı, kötü amaçlı bir X.509 sertifikası oluşturabilir ve bunu özel bir anahtarla imzalayabilir.
Sızma test cihazı daha sonra kötü amaçlı bir yürütülebilir dosyayı imzalamak için kötü amaçlı sertifikayı kullanabilir.
Sızma test cihazı daha sonra imzalanmış kötü amaçlı yürütülebilir dosyayı içeren kötü amaçlı bir XE dosyası oluşturabilir.
Sızma test cihazı daha sonra kötü amaçlı XE dosyasını Linux için Zscaler Client Connector'ın güvenlik açığı bulunan sürümünü kullanan bir kurbana gönderebilir.
Kurban kötü amaçlı XE dosyasını açtığında, Linux için Zscaler İstemci Bağlayıcısı dosyayı ayrıştıracak ve kötü amaçlı kodu çalıştıracaktır.
Sızma test cihazı daha sonra kurbanın sistemine erişebilir ve hassas verileri çalabilir veya sistemi değiştirebilir.
En iyi performansı ve güvenliği sağlamak için yazılımı güncel tutmak ve güncellemeleri düzenli olarak kontrol etmek önemlidir. Zscaler, kullanıcıların riski azaltmaya yardımcı olmak için aşağıdaki azaltıcı önlemleri uygulamasını önerir:
Linux için Zscaler Client Connector'ı 1.3.1.6 veya sonraki bir sürüme güncelleyin.
Yalnızca güvenilir kaynaklardan gelen dosyaları açın.
Citations:
[1] https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-23-october-2023
[2] https://vuldb.com
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-28796
[4] https://feedly.com/cve/CVE-2023-28796