Kritik Uzaktan Kod Yürütme Güvenlik Açığı Hikka Telegram Kullanıcıbotu

 

Kritik Uzaktan Kod Yürütme Güvenlik Açığı

 Hikka Telegram Kullanıcıbotu (Userbot) 

CVE-2025-52572, bir Telegram kullanıcı botu olan Hikka'nın  tüm sürümlerini etkileyen kritik bir güvenlik açığıdır . Bu güvenlik açığı, kullanıcı botunu çalıştıran sunucuda uzaktan kod yürütmeyi (RCE) etkinleştirir ve ayrıca bot sahiplerinin Telegram hesaplarının tehlikeye atılmasına yol açabilir. Güvenlik açığı, Hikka tarafından kullanılan web arayüzünün uygunsuz kimlik doğrulaması ve güvenli olmayan kullanımından kaynaklanır. 

Güvenlik Açığının Ayrıntıları 

İki ana saldırı senaryosu mümkündür:

1. Kimliği Doğrulanmamış Web Arayüzü Erişimi

Hikka web arayüzünde kimliği doğrulanmış bir oturum yoksa, bir saldırgan kendi Telegram hesabını kullanarak sarkan web arayüzünde kendini yetkilendirebilir. Bu, saldırganın kullanıcı botunu barındıran sunucuda uzaktan kod yürütme elde etmesini sağlar. Esasen, saldırgan önceden kimlik bilgileri veya erişime ihtiyaç duymadan web arayüzünü ele geçirir .

 

2. Yetersiz Uyarı ile Kimlik Doğrulanmış Web Arayüzü

Web arayüzü doğrulandığında, kullanıcılar "Web uygulaması işlemlerine izin ver" istemini alır. Yetersiz uyarı mesajları nedeniyle, kullanıcılar "İzin ver"i tıklamaya kandırılmıştır, bu da saldırganlara yalnızca uzaktan kod yürütme yetenekleri değil, aynı zamanda kullanıcı botu sahiplerinin Telegram hesaplarına tam erişim de sağlar. Bu ikinci senaryonun vahşi doğada aktif olarak istismar edildiği doğrulandı ve bu da onu yüksek riskli bir tehdit haline getiriyor .

Darbe

• Uzaktan Kod Yürütme (RCE): Saldırganlar, kullanıcı botunu çalıştıran sunucuda keyfi kod yürütebilir ve potansiyel olarak sistemin tam kontrolünü ele geçirebilirler.
• Telegram Hesap Tehlikeye Atılması: Saldırganlar, kullanıcı botu sahiplerinin Telegram hesaplarına yetkisiz erişim elde edebilir, bu da veri hırsızlığına, kimliğe bürünmeye veya daha fazla saldırıya yol açabilir.
• Yüksek Önem: Bu güvenlik açığına, istismarının kolay olduğunu ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki ciddi etkisini yansıtan 10,0 (KRİTİK) CVSS v3 temel puanı atandı .

Henüz Resmi Bir Yama Yok

Yayımlanma tarihi itibarıyla (24 Haziran 2025), bu güvenlik açığını gidermek için resmi yamalar mevcut değildir. Hikka deposu 2025'in başlarında arşivlendi ve bu sorunu ele alan hiçbir güncelleme yayımlanmadı 2 .

Önerilen Geçici Çözümler ve Azaltma Yöntemleri

Resmi bir yama yayınlanana kadar, Hikka kullanıcıları riski azaltmak için aşağıdaki önlemleri almalıdır:

• Bayrağı kullan --no-web: Kullanıcı botunu --no-webweb arayüzünü tamamen devre dışı bırakma seçeneğiyle başlat. Bu bayrak olmadan kullanıcı botunu başlatmayın.
• Web Arayüzü Bağlantı Noktalarını Kapatın: Web arayüzünün geçici olarak kullanılması gerekiyorsa, yetkilendirmeden hemen sonra sunucu bağlantı noktasını kapatın ve ardından kullanıcı botunu --no-web.
• "İzin Ver" İstemlerine Dikkat Edin: Eylemi açıkça yetkilendirmeyi amaçlamadığınız sürece yardımcı botun "Web uygulaması işlemlerine izin ver" menüsündeki "İzin Ver"e tıklamayın.
• Web Arayüzü Erişimini Devre Dışı Bırakın veya Kısıtlayın: Web arayüzünü devre dışı bırakmayı veya erişimini yalnızca güvenilir ağlarla sınırlamayı düşünün .

Örnek Saldırı Senaryosu

Senaryo 1: Dangling Web Arayüzü Üzerinden Yetkisiz RCE

• Saldırgan, Hikka'yı çalıştıran ve web arayüzü açık olan sunucuları tarar.
• Etkin bir kimlik doğrulama oturumu olmayan sallantılı bir arayüz bulan saldırgan, erişimi yetkilendirmek için Telegram hesabını kullanır.
• Yetkilendirildikten sonra saldırgan sunucuda keyfi komutlar yürütür, kullanıcı robotu ve potansiyel olarak ana sistem üzerinde tam kontrol elde eder.

Senaryo 2: Yanıltıcı Yetkilendirme Yoluyla Hesap Tehlikeye Atılması

• Kullanıcıbot sahibi web arayüzüne giriş yapar ve "Web uygulaması işlemlerine izin ver" istemini alır.
• Belirsiz veya yetersiz uyarı nedeniyle kullanıcı, istemeden de olsa saldırgana daha yüksek izinler vermiş olur.
• Saldırgan, uzaktan kod yürütme ve sahibinin Telegram hesabına erişim elde ederek, mesaj engelleme veya kötü amaçlı yazılım yayma gibi daha fazla kötü amaçlı faaliyete olanak sağlıyor.

Çözüm

CVE-2025-52572, Hikka Telegram kullanıcı robotlarında kritik bir güvenlik açığını temsil eder ve saldırganların uzaktan kod yürütmesine ve uygunsuz web arayüzü kimlik doğrulaması yoluyla Telegram hesaplarını tehlikeye atmasına olanak tanır. Resmi yamalar mevcut olmadığından, kullanıcılar web arayüzünü devre dışı bırakmak ( --no-webişaret) ve yetkilendirme istemlerinde aşırı dikkatli olmak gibi katı önlemlere güvenmelidir. Vahşi doğada aktif istismar göz önüne alındığında, etkilenen sistemleri korumak için acil eylem şarttır.

Önemli Noktaların Özeti:

Bakış açısı	Detaylar
Etkilenen Yazılım	Hikka Telegram kullanıcı robotu, tüm sürümler
Güvenlik Açığı Türü	Uzaktan kod yürütülmesine yol açan uygunsuz kimlik doğrulama
CVSS Puanı	10.0 (Kritik)
Darbe	Uzaktan kod çalıştırma, Telegram hesabının tehlikeye atılması
İşletme Durumu	Vahşi doğada aktif olarak sömürülmektedir
Resmi Yama	Hiçbiri mevcut değil
Önerilen Azaltma Yöntemleri	--no-webBayrak kullanın , web arayüzü portlarını kapatın, dikkatli yetkilendirme yapın

Bu güvenlik açığı, otomasyon araçlarındaki açık veya yetersiz güvenlikli web arayüzlerinin risklerini ve yetkilendirme süreçleri sırasında net kullanıcı uyarılarının kritik önemini vurgulamaktadır .

• https://nvd.nist.gov/
• https://github.com/hikariatama/Hikka/güvenlik/tavsiyeler/GHSA-7x3c-335v-wxjj
• https://cve.mitre.org/cgi-bin/cvekey.cgi