CVE-2013-2251 · Bilgilendirme

Apache Struts Improper Input Validation Vulnerability

Apache Struts zafiyeti CVE-2013-2251 ile uzaktan saldırılarla OGNL ifadeleri çalıştırılabilir.

Üretici
Apache
Ürün
Struts
Seviye
yüksek
Yayın Tarihi
04 Nisan 2026
Okuma
8 dk okuma

CVE-2013-2251: Apache Struts Improper Input Validation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2013-2251, Apache Struts’ta bulunan ciddi bir zafiyettir ve dünya genelinde birçok web uygulamasını etkilemiştir. Apache Struts, Java tabanlı web uygulamaları geliştirmek için yaygın bir framework'tür. Bu zafiyet, özellikle Object-Graph Navigation Language (OGNL) ifadelerinin kötü bir şekilde doğrulanmasından kaynaklanmakta ve bu da uzaktan saldırganların zararlı komutlar çalıştırmasına olanak tanımaktadır.

Zafiyetin tarihi, 2013 yılının başlarına kadar uzanmaktadır. Apache Struts’ta bir hata, kullanıcı girdilerinin uygun bir şekilde doğrulanmamasıyla ilgiliydi. Bu durum, saldırganların OGNL ifadelerini kullanarak, sunucuda rastgele komutlar çalıştırmalarına olanak sağladı. Güvenlik araştırmacıları, bu açığın varlığını tespit ettikten kısa bir süre sonra, Apache ekibi tarafından gerekli düzeltmeler yapılmış olsa da, hâlâ etkilerine rastlamaktayız. Bu zafiyetin etkilediği birçok sektör bulunmakta; özellikle finans, sağlık, kamu hizmetleri ve e-ticaret gibi alanlar, yıllar içinde benzer saldırılara maruz kalmıştır.

Gerçek dünya örneklerine bakacak olursak, CVE-2013-2251’in neden olduğu bir güvenlik ihlali, finansal bir kurumun web sitesinde yaşanmıştı. Saldırganlar, kullanıcı giriş formuna zararlı OGNL ifadeleri yerleştirerek, arka planda çalışan veritabanına erişim sağlamışlardır. Bu tür bir "Remote Code Execution" (RCE, Uzak Kod Yürütme) zafiyeti, veri kaybına ve sistemin tamamen kontrolünün kaybedilmesine yol açabilir. Kullanıcı bilgileri, müşteri verileri ve şirket içi hassas bilgiler, bu tür açıklar nedeniyle tehlike altına girmektedir.

Zafiyetin en kritik yanı, saldırganların OGNL ifadelerini kötüye kullanarak, sunucu üzerinde her türlü kontrolü elinde bulundurabilmesi ve istenmeyen işlemler gerçekleştirebilmesidir. Bu tür bir durumda, sunucunun tam kontrolü, saldırganların eline geçer ve kötü niyetli yazılımlar yüklenebilir. Örneğin, bir saldırgan, hedef sunucuya aşağıdaki gibi basit bir OGNL ifadesi ile zarar verebilir:

#dm=@java.lang.Runtime@getRuntime().exec('cmd.exe /c exploit');

Bu tür bir komut çalıştırıldığında, saldırgan sunucunun komut satırını kullanarak zararlı yazılımlar yükleyebilir veya daha da kötüsü, sunucu tarafından işlenen tüm verileri ele geçirebilir.

Apache Struts’ta meydana gelen bu zafiyet, savunmasız altyapılar için ciddi bir tehdittir. Çoğu zaman güncellemeler ihmal edilmekte ve bu durum kalıcı güvenlik açıklarının oluşmasına neden olmaktadır. İşletmelerin bu tür zafiyetlerden etkilenmemek için, kullanılmakta olan yazılımların güncellemelerini düzenli olarak takip etmeleri, güvenlik duvarı ve saldırı tespit sistemlerini aktif bir şekilde kullanmaları oldukça önemlidir. Aynı zamanda, güvenlik denetimlerinin yapılması ve sızma testlerinin gerçekleştirilmesi, olası tehditlerin erken tespit edilmesine yardımcı olabilir.

Sonuç olarak, Apache Struts’ta bulunan CVE-2013-2251 zafiyeti, internet ortamında yaygın olarak kullanılan birçok uygulama için ciddi bir tehdit oluşturmaktadır. Kullanıcı girdilerinin düzgün bir şekilde doğrulanması, tüm web uygulamaları için tahmin edilebilir bir güvenlik sağlamak amacıyla kritik bir rol oynamaktadır. Geçmişte yaşanan bu tür güvenlik açıklarından ders çıkararak, gelecekte daha güvenli yazılımlar geliştirmek için çaba göstermemiz gerektiği aşikardır.

Teknik Sömürü (Exploitation) ve PoC

Apache Struts, geniş bir kullanıcı tabanına sahip popüler bir web uygulama çerçevesidir. Ancak, CVE-2013-2251 zafiyeti, Apache Struts kullanan sistemlere yönelik uzaktan kod yürütme (RCE - Remote Code Execution) saldırılarına olanak tanır. Bu güvenlik açığı, saldırganların rastgele Object-Graph Navigation Language (OGNL) ifadelerini yürütmelerine imkan verir. Bu içerikte, bu açığın nasıl sömürülebileceğine dair adım adım bir kılavuz sunacağız.

Zafiyetin temelinde, Apache Struts uygulamalarında kullanıcıdan gelen verilerin yeterince doğrulanmaması yatmaktadır. Örneğin, badir (bad data) girişi yapan bir saldırgan, hedef sistemde istenmeyen eylemleri gerçekleştirmek için OGNL ifadelerini kullanabilir. Bu zafiyet, sistemin kontrolünü ele geçirmek isteyen kötü niyetli kişiler için büyük bir fırsat sağlar.

Potansiyel bir saldırı senaryosu düşünelim. Diyelim ki, bir finansal hizmetler uygulaması, kullanıcıdan alınan belirli verileri işlerken Apache Struts kullanıyor. Kullanıcı girişi sırasında, belirli kullanıcı adı ve şifre değerlerinin alındığı bir form mevcut. Ancak, uygulama bu verileri yeterince güvenli bir şekilde işleyemiyor.

Adım 1: Hedef Belirleme İlk olarak, saldırgânın hedef alacağı bir Apache Struts uygulaması belirlemesi gerekiyor. Bu uygulamadaki form ya da parametrelerin hangi OGNL ifadelerini kabul ettiğini analiz etmelidir.

Adım 2: Verilerin Manipülasyonu Kullanıcı girişinde, OGNL ifadelerini içeren bir veri girişi yapılır. Örneğin, aşağıdaki gibi bir HTTP isteği gönderilebilir:

POST /login HTTP/1.1
Host: target-app.com
Content-Type: application/x-www-form-urlencoded

username=admin&password=%23%7B%23a%3D%40org.apache.struts.taglib.html.FormTag%40%28org.apache.commons.beanutils.PropertyUtils%2C%23a%29%3F%23a.getClass%28%29%3A%23context.get%28%22request%22%29%3A%23a%28%29%3D%23context.get%28%22request%22%29%3F%23a.get%28%22customParameter%22%29%3A%23a%28%29%3D%23context.get%28%22request%22%29%3A%23context%3A%23a%28%29%26exec=1

Burada, password alanına yerleştirilmiş OGNL ifadesi, sistemde ne tür işlemlerin gerçekleştirileceğinin bir göstergesidir.

Adım 3: Saldırının Gerçekleştirilmesi Yukarıdaki istek gönderildikten sonra, sistem OGNL ifadesini işler ve varsa bu ifadenin sonucu olarak beklenmedik bir çıktı oluşturur. Eğer zafiyet başarılı bir şekilde sömürüldüysa, saldırgân sisteme erişim sağlayabilir. Bu aşamada, basit bir yük olarak şu Python kodu kullanılabilir:

import requests

url = "http://target-app.com/login"
payload = {
    'username': 'admin',
    'password': '#{"command":[Ljava.lang.String;@1]"'
}

response = requests.post(url, data=payload)

print(response.text)

Adım 4: Sonuçların Analizi Saldırgân, yukarıdaki adımları takip ederek sistemden geri dönen yanıtı analiz eder. Eğer sistem, gönderilen OGNL ifadesini başarıyla işler ve beklenen eylemi veya sonucu gerçekleştirmişse, bu saldırının başarılı olduğunu gösterir. Saldırgân, bu bilgiyi kullanarak daha fazla zafiyet keşfedebilir ya da hedef sistemde kötü niyetli faaliyetlerde bulunabilir.

Bu tür saldırılara karşı savunma mekanizmalarının güçlendirilmesi, güvenlik farkındalığı ve düzenli güvenlik testlerinin yapılması kritik öneme sahiptir. Apache Struts gibi açık kaynaklı çerçevelerin güncel tutulması, bilinen zafiyetlerin kapatılması için önemlidir. White Hat Hacker olarak, bu tür zafiyetlerin tespit edilip rapor edilmesi ile yazılımların güvenliğini artırma konusunda önemli bir rol oynadığımızı unutmamız gerekmektedir.

Forensics (Adli Bilişim) ve Log Analizi

Apache Struts, birçok web uygulaması için yaygın olarak kullanılan bir çerçevedir. Ancak, CVE-2013-2251 zafiyeti, bu platformu etkileyen ciddi bir güvenlik açığı olarak karşımıza çıkmaktadır. Bu zafiyet, uzaktan saldırganların rasgele Object-Graph Navigation Language (OGNL) ifadeleri yürütmelerine olanak tanır. Bu tür bir yaşamsal zafiyet, siber saldırganlar tarafından uzaktan kod çalıştırma (Remote Code Execution - RCE) amacıyla kullanılabilir ve çeşitli siber saldırılara zemin hazırlayabilir.

Saldırganların bu zafiyeti exploite ederek sistem üzerinde yetkisiz eylemler gerçekleştirebilecek olmaları, adli bilişim (forensics) ve log analizi açısından son derece önemlidir. Uygulamanın log dosyaları, bu tür saldırıların tespit edilmesi için kritik bilgiler barındırır.

Bir siber güvenlik uzmanı, Apache Struts uygulamalarında meydana gelebilecek bu tür bir saldırının izlerini bulmak için SIEM (Security Information and Event Management) sistemlerini ve log dosyalarını dikkatlice incelemelidir. Her şeyden önce, 'access log' ve 'error log' dosyaları üzerinde yoğunlaşmak önemlidir.

Log dosyalarında aranan bazı spesifik imzalar (signature) şunlardır:

  1. OGNL İfadeleri: Loglarda, OGNL ifadelerinin sıklığına ve kullanımına dikkat edilmeli. Örneğin, bir URL’de # veya @ işaretiyle başlayan ifadeler, şüpheli kabul edilmelidir. Örnek bir log satırı aşağıdaki gibi olabilir:
   [127.0.0.1] - - [01/Jan/2023:12:00:00 +0000] "GET /example/struts?method=someMethod%23{someFunction()}" 200

  1. Hatalı Girişler: Error log dosyasında, potansiyel bir OGNL ifadesinin parçalarını ve yanıt olarak dönen 500 hatalarını incelemek önemlidir. Saldırganların saldırı girişimleri genellikle uygulama hata mesajlarıyla sonuçlanır, bu nedenle bu tür hataları izlemek yararlıdır.

  2. Sıra Dışı İstekler: Belirli bir IP adresinden gelen aşırı sayıda isteği veya normal olmayan HTTP metotları (örneğin, yalnızca POST veya GET yerine PUT ya da DELETE) izlemek gerekmektedir. Aşağıda bunun bir örneği verilmiştir: ``` [192.168.1.10] - - [01/Jan/2023:12:01:00 +0000] "POST /struts/example" 404 "Error: OGNL injection attempt"

4. **Kötü Amaçlı Parametreler**: URL parametrelerinde, özellikle ‘value’ veya ‘action’ alanlarında, olağan dışı karakter ve dizilimlerin olup olmadığını kontrol edin. Örneğin, çapraz site komut dosyası (XSS) ve SQL enjeksiyon teknikleriyle birleşmiş OGNL içeren parametreler de tespit edilmeye çalışılmalıdır.

5. **Anormal Kullanıcı Davranışları**: İşlem günlüklerinde, kullanıcı davranışlarının ve oturum açma işlemlerinin normalden sapması da izlenmelidir. Farklı kullanıcıların benzer IP adreslerinden giriş yapması veya aynı anda çok sayıda başarısız oturum açma girişimi dikkat çekici olabilir.

Sonuç olarak, CVE-2013-2251 zafiyeti, Apache Struts’ta meydana gelebilecek kritik bir güvenlik açığıdır. Adli bilişim (forensics) ve log analizi, bu tür zafiyetlerin tespit edilmesi için son derece önemli araçlardır. Yukarıda belirtilen imzalar doğrultusunda yapılan detaylı incelemeler, siber güvenlik uzmanlarına potansiyel tehditleri zamanında tespit etme ve önleme imkânı sunar. Bu bağlamda, cyber güvenlik stratejilerinin geliştirilmesi ve sistemlerin sürekli izlenmesi gerekmektedir.

## Savunma ve Sıkılaştırma (Hardening)

Apache Struts, web uygulamaları geliştirmek için yaygın olarak kullanılan bir çerçevedir. Ancak, CVE-2013-2251 olarak bilinen bir zafiyet, uzaktan saldırganların bir dizi güvenlik açığını istismar etmesine ve nesne grafik gezinme dili (OGNL) ifadelerini çalıştırmalarına olanak tanımaktadır. Bu tür zafiyetler, uzaktan kod yürütme (RCE) gibi tehlikeleri içerir ve ciddi veri ihlali risklerine yol açabilir. Bu yazıda, güvenlik zafiyetlerini kapatmanın yolları ve sıkılaştırma (hardening) yöntemleri üzerinde durulacaktır.

Öncelikle, zafiyetin neden olduğu güvenlik sorunlarını ortadan kaldırmak için Apache Struts uygulamalarında kullanılan OGNL ifadeleri üzerinde sıkı bir girdi doğrulama mekanizması uygulanmalıdır. Aşağıdaki örnek, bu tür kötü niyetli girdi için bir filtreleme mekanizması getirmektedir:

java public void validateInput(String userInput) { if (userInput.contains("ognl")) { throw new IllegalArgumentException("Geçersiz girdi."); } }

Bu basit kontrol, kullanıcıların girdi olarak OGNL ifadeleri sağlamasını engeller. Ancak bu sadece bir başlangıçtır. Kullanıcı girdilerinin kapsamlı bir şekilde kontrol edilmesi ve yalnızca belirli, önceden tanımlanmış değerlerin kabul edilmesi gerekmektedir.

Alternatif olarak, web uygulama güvenlik duvarı (WAF) kullanarak da bu tür saldırıları önlemek mümkündür. WAF'ler, zararlı trafiği filtreleyerek uygulamanızın güvenliğini artırır. Örnek bir WAF kuralı aşağıda verilmiştir:

plaintext SecRule ARGS ".(ognl|#|\$|\{|\})." "id:12345,phase:2,deny,status:403" ```

Bu kural, kullanıcı tarafından gönderilen parametrelerde ognl veya benzeri tehdit unsurları arar ve bulursa istekleri engeller.

Sıkılaştırma (hardening) teknikleri de uygulamanızın güvenliğini artırmak için kritik önem taşır. Apache Struts üzerinde uygulayabileceğiniz bazı kalıcı sıkılaştırma önerileri şunlardır:

  1. Güncellemeleri Takip Etmek: Apache Struts'ün en son sürümünü kullanmak, bilinen zafiyetleri ortadan kaldırmak için en etkili yollardandır. Her yeni sürümde güvenlik yamaları yayınlanmaktadır.

  2. Minimal İzinler: Uygulamanızda çalıştırılan servisler için minimum izinler belirlemek, olası kötü niyetli eylemleri sınırlandırır. Bu, veri erişimi ve uygulama yeteneklerinin kısıtlanması anlamına gelir.

  3. Dinamik Girdileri Sıkı Yönetme: Kullanıcıların uygulama içinde dinamik olarak girdi sağlamasına izin veren tüm alanlar için ek güvenlik önlemleri alınmalıdır. Örneğin, sayfa yüklenmeden önce tüm kullanıcı girdileri öncelikle doğrulanmalı ve filtrelenmelidir.

  4. Log Analizi: Uygulama günlüklerini düzenli olarak kontrol etmek, olağandışı faaliyetleri ve potansiyel saldırıları tespit etmenin önemli bir yoludur. Log analizi için araçlar kullanarak bu süreç otomatikleştirilebilir.

  5. Güvenli Programlama Uygulamaları: Tüm geliştiricilerin güvenli kod yazma teknikleri konusunda eğitim alması sağlanmalıdır. OWASP (Open Web Application Security Project) gibi organizasyonlar tarafından sağlanan kaynaklar, geliştiricilere karşılaşabilecekleri riskler hakkında bilgi vermektedir.

Sonuç olarak, Apache Struts üzerinde CVE-2013-2251 gibi zafiyetlerin etkisi büyük olmakla birlikte, bu tür açığın risklerini minimize etmek için sağlam güvenlik pratikleri uygulamak gereklidir. Yazılım geliştiricilerin, güvenlik standartlarına uyduğundan emin olmaları, zafiyetleri minimize etmek adına kritik bir öneme sahiptir. Bu tür zafiyetleri proaktif olarak yönetmek, hem veri güvenliğini sağlamak hem de işletmelerin itibarını korumak açısından hayati öneme sahiptir.