CVE-2018-19410 · Bilgilendirme

Paessler PRTG Network Monitor Local File Inclusion Vulnerability

CVE-2018-19410, Paessler PRTG'de yer alan kritik bir güvenlik açığı ile uzaktan kullanıcı yaratmak mümkün.

Üretici
Paessler
Ürün
PRTG Network Monitor
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2018-19410: Paessler PRTG Network Monitor Local File Inclusion Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Paessler PRTG Network Monitor, ağ izleme ve yönetim çözümleri sunan popüler bir yazılımdır. Ancak, 2018 yılında keşfedilen CVE-2018-19410 zafiyeti, bu yazılımın güvenliğini tehdit eden önemli bir sorun olarak ortaya çıkmıştır. Bu zafiyet, yerel dosya dahil etme (Local File Inclusion - LFI) olarak tanımlanmakta olup, bir uzaktan (remote) ve kimlik doğrulaması yapılmamış (unauthenticated) saldırganın sistem üzerinde yetki elde etmesine olanak tanımaktadır. Söz konusu zafiyet, kullanıcılara okuma-yazma yetkileri (read-write privileges) olan yeni kullanıcılar oluşturmaya imkan veriyor, hatta bu kullanıcıların yönetici (administrator) haklarına sahip olmasına da yol açabiliyor.

CVE-2018-19410’un tarihçesi incelendiğinde, bu zafiyetin Paessler’in belirli bir versiyonunda kullanılan bir kütüphanede (library) yer aldığı görülmektedir. Söz konusu kütüphane, uygulama içi dosya yönetimi işlevlerini sağlamaktadır. Ancak, güvenlik açığı nedeniyle, saldırganlar bu kütüphaneye kötü niyetli dosyalar yükleyerek, yerel dosyaların da dahil edilmesini sağlayabilirler. Bu durum, sistemin bütün güvenlik yapısını sarsmakta ve daha önce bahsedilen okuma-yazma yetkisine sahip kullanıcılar oluşturulmasına yol açmaktadır.

Bu zafiyetin dünya genelindeki etkileri, özellikle BT ve telekomünikasyon sektörlerinde önemli boyutlar kazanmıştır. Çünkü Paessler’in PRTG Network Monitor uygulaması, geniş çapta ağ yönetim çözümleri sunan firmalar tarafından kullanılmaktadır. Kendi ağlarına yönelik zafiyetlerin kötüye kullanılma ihtimali, kullanıcı verilerinin, ağ yapılandırmalarının ve hatta sistem bütünlüğünün riske girmesine neden olabilir. Özellikle kamu kurumları ve büyük işletmeler, bu tür bir zafiyetten ötürü çok ciddi güvenlik tehditleriyle karşılaşabilirler.

Gerçek dünya senaryolarında, bir sistem yöneticisi PRTG Network Monitor kullanarak ağını izlemekteyken, bir tehdit aktörü bu zafiyeti kullanarak sisteme sızabilir. Örneğin, hedef alınan bir şirketin network altyapısında, erişim yetkisi olmayan bilgiler bulunabilir. Kötü niyetli kişi, bu zafiyeti kullanarak yönetici haklarına sahip bir kullanıcı oluşturarak tüm sisteme erişebilir. Bu durumda, sadece ağın izlenmesi değil, aynı zamanda kritik veri çalınması gibi sonuçlar da doğabilir.

Bu zafiyetin ortaya çıkması, yazılım güncellemeleri ve yamanmayan sistemlerin neden olduğu güvenlik açıklarının önemini bir kez daha vurgulamaktadır. Birçok işletme, yazılımlarının güncel tutulması ve güvenlik yamalarının hızla uygulanması konusundaki ihmalkarlıkları nedeniyle ciddi zararlara uğrayabilirler. Dolayısıyla, CVE-2018-19410 gibi zafiyetlerin farkında olmak ve bu tür zafiyetlerin kapatılması için gerekli önlemlerin alınması büyük bir önem arz etmektedir.

Sonuç olarak, Paessler PRTG Network Monitor gibi sistemlerin, yerel dosya dahil etme (LFI) gibi zafiyetlerden etkilenmemesi için, kullanıcıların bilgi ve farkındalığını artırmaları gerekli bir öncelik olmalıdır. Etkili bir ağ güvenliği için, sadece yazılımların güncellenmesi yeterli olmayıp, aynı zamanda sistemlerin düzenli olarak denetlenmesi ve güvenlik politikalarının güçlendirilmesi de büyük önem taşımaktadır.

Teknik Sömürü (Exploitation) ve PoC

Paessler PRTG Network Monitor’deki CVE-2018-19410 zafiyeti, bir yerel dosya dahil etme (Local File Inclusion - LFI) açığı olarak tanımlanmaktadır. Bu tür bir zafiyet, uzaktan bir saldırganın, kimlik doğrulaması olmadan, dosyaları sistem üzerinde okuyabilmesine ve potansiyel olarak kritik yetkilere sahip kullanıcılar oluşturmasına imkân tanır. Bu hamleler, siber güvenlik ortamında ciddi tehditler yaratabilir. Gerçek dünya senaryolarında ise, bir saldırgan bu açığı kullanarak hedef sistemde tam kontrol elde edebilir.

Bu zafiyeti sömürmek için izlenecek adımlar şunlardır:

Öncelikle, hedef sistemin PRTG Network Monitor versiyonunu doğrulayarak başlayalım. Belirli bir sürümde zafiyetin mevcut olup olmadığını anlamak için aşağıdaki gibi bir istek gönderebiliriz:

GET /api/v1/version HTTP/1.1
Host: hedef-sistem-ip

Bu isteğin yanıtında versiyon bilgisini elde ettikten sonra, CVE-2018-19410 ile etkilenip etkilenmediğini anlayabiliriz. Eğer versiyon etkileniyorsa, saldırı için devam edebiliriz.

İkinci adım olarak, bir yerel dosya dahil etme tekniği kullanarak hassas dosyaları hedeflemek gerekmektedir. Hedef sistemdeki belirli bir dosyaya erişim sağlamak için aşağıdaki gibi bir HTTP isteği hazırlanabilir:

GET /api/v1/monitoring/overview?file=../../../../etc/passwd HTTP/1.1
Host: hedef-sistem-ip

Yukarıdaki istekte, "/etc/passwd" dosyasına erişim sağlanmaya çalışılmaktadır. Eğer dosyaya erişim başarılı olursa, hedef sistemde kullanıcı bilgilerini görüntüleyebiliriz.

Üçüncü adım, yetki elde etme sürecidir. Bu aşamada, uzaktan, kimlik doğrulaması yapılmamış bir kullanıcı oluşturmak için sisteme bir POST isteği gönderebiliriz. Aşağıdaki örnek kod, potansiyel bir Python exploit taslağını içermektedir:

import requests

url = 'http://hedef-sistem-ip/api/v1/users/create'
data = {
    'username': 'new_admin',
    'password': 'secure_pass',
    'roles[]': 'admin'
}

response = requests.post(url, json=data)

if response.status_code == 200:
    print("Yeni kullanıcı başarıyla oluşturuldu!")
else:
    print("Kullanıcı oluşturulamadı, durum kodu:", response.status_code)

Bu kod, sisteme yeni bir kullanıcı eklemeye çalışmaktadır. Başarılı olmak durumunda, "new_admin" isimli yeni bir yönetici hesabı oluşturmuş oluruz.

Son adım, elde edilen yetkilerle PRTG Network Monitor’da daha fazla işlem yapmaktır. Bu, sistemdeki verilere erişim, kurulumları değiştirme veya diğer kullanıcıları yönetme gibi işlemleri içerebilir. Ancak bu tür eylemler, yasal çerçevede yapılmadığı sürece siber suç kapsamına girmektedir. Dolayısıyla, bu tür kritik açıkları sadece etik siber güvenlik bağlamında incelemek ve raporlamak önemlidir.

Bu tür süreçlerin faydası, saldırı vektörlerini anlamak ve yönetimsel düzeyde gerekli güvenlik önlemlerini almaktır. Güvenlik açıklarını kapatmak için güncellemeler yapmak, sistem bileşenlerini sürekli izlemek ve güvenlik duvarları gibi korumaların uygulanması gereklidir. Zafiyetlerin ortaya çıkması durumunda hızlı bir yanıt vermek, olası zararları azaltmak adına kritik rol oynamaktadır.

Forensics (Adli Bilişim) ve Log Analizi

Paessler PRTG Network Monitor, geniş bir ağ yönetimi ve izleme aracı olarak yaygın bir şekilde kullanılmaktadır. Ancak, CVE-2018-19410 zafiyeti, uzaktan kimlik doğrulaması yapılmadan potansiyel olarak kötü niyetli saldırganların yerel dosyaları dahil etmesine (Local File Inclusion - LFI) olanak tanımaktadır. Bu tür bir zafiyet, siber güvenlik açısından büyük riskler doğurur, çünkü saldırganların sisteme zararlı yazılımlar eklemesini veya yetkisiz kullanıcı hesapları oluşturmasını sağlayabilir. Bu nedenle, bu tür zafiyetlerin izlenmesi ve tespit edilmesi, siber güvenlik uzmanları için kritik öneme sahiptir.

Herhangi bir LFI zafiyetinin tespit edilmesi için log analizi yapmak muazzam bir öneme sahiptir. Log dosyaları, sistemin faaliyetlerini kaydeden en önemli kaynaklardan biridir. Özellikle Access log (erişim günlüğü) ve Error log (hata günlüğü) dosyaları, yetkisiz girişimlerin ve saldırıların izlenmesinde kullanışlıdır. Bu günlüklerdeki belirli imzalar, CVE-2018-19410 gibi zafiyetlerin kullanımını işaret edebilir.

Öncelikle, idealiyle bir siber güvenlik uzmanı, log analizine başlamadan önce sistemdeki genel faaliyetleri gözden geçirmelidir. Erişim günlüğü kayıtlarında belirli kalıpları aramak faydalı olacaktır. Örneğin, aşağıdaki örneklerde olduğu gibi, sıradışı URL istekleri gözlemlenebilir:

GET /prtg/system/users/user.php?username=admin&password=123 HTTP/1.1

Bu tür bir istek, sistemdeki kullanıcı bilgilerini içeren bir dosyaya erişim sağlamaya çalıştığını gösterir. Ayrıca, anormal derecede yüksek bir düzeyde GET veya POST isteği, olası bir saldırı belirtisi olabilir. Özellikle koruma mekanizmalarının aşıldığı durumlarda, bu durumlar sıkça karşılaşılmaktadır.

Başka bir önemli nokta, hata günlüğündeki belirtilerdir. Özellikle, "file not found" (dosya bulunamadı), "permission denied" (izin verilmedi) gibi hatalar bir dizi aldatıcı faaliyet sonucu ortaya çıkabilir. Aşağıdaki hata kaydı, LFI girişimlerini işaret edebilir:

[ERROR] 2023-10-01 13:45:23 - Server error: /var/www/html/prtg/system/users/user.php failed to include ../etc/passwd

Bu tür bir hata kaydı, saldırganın dosya sistemine erişmeye çalıştığını gösterir. "include" veya "require" gibi PHP fonksiyonları içeren talepler de dikkatle izlenmelidir. Böyle istekler, saldırganın hedef dosyalarında yer değiştirip kötü amaçlı içerikler yüklediğine dair ipuçları verebilir.

Ayrıca, sistem yöneticileri LFI ve diğer potansiyel saldırı türlerinin tespitine yardımcı olacak güvenlik araçları ve SIEM (Security Information and Event Management) sistemleri kullanmalıdır. Bu tür araçlar, anormal davranışları belirleyerek, siber güvenlik uzmanlarının daha hızlı bir şekilde tepkide bulunmasına olanak tanır.

Hedeflenmiş bir siber saldırıda, verilerin bütünlüğünü sağlamak için sistem yöneticilerinin ve güvenlik uzmanlarının, log analizi ve forensic (adli bilişim) yöntemleriyle bu tür olayları izlemeleri esastır. Enfekte olmuş sistemlerdeki izlerin analiz edilmesi ve bu tür erişimlerin önlenmesi, güvenlik yöneticilerinin sorumlulukları arasındadır. Böylece, organizasyonlar, güvenlik açıklarını en aza indirgeyerek siber tehditlere karşı hazırlıklı olabilirler.

Savunma ve Sıkılaştırma (Hardening)

Paessler PRTG Network Monitor'de bulunan CVE-2018-19410 zafiyeti, uzaktan ve kimlik doğrulaması olmaksızın bir saldırganın sistemde kullanıcı oluşturmasına olanak tanıyor. Bu tür bir güvenlik açığı, özellikle yönetici yetkileriyle bir kullanıcının oluşturulması durumunda, sistem üzerinde tam kontrol sağlanmasına yol açabilir. Bu nedenle, zafiyetin kapatılması ve sistemin güvenliği için alınması gereken önlemler son derece kritik öneme sahiptir.

Zafiyeti kapatmanın başlıca yolları arasında, ilk olarak PRTG Network Monitor yazılımının en güncel sürümüne yükseltilmesi yer alıyor. Güncellemeler genellikle güvenlik açıklarını kapatmak için önemli yamalar içerir. Elde edilen güncellemelerle birlikte, sistemlerin güncel tehditlere karşı korunması sağlanabilir.

Ayrıca, güvenlik duvarı (firewall) kurallarını gözden geçirmek ve gerektiğinde alternatif Web Application Firewall (WAF) çözümlerini kullanmak da önemlidir. WAF, uygulama katmanında gelen trafiği analiz ederek potansiyel saldırıları engelleyebilir. Bu tür bir yapılandırma ile, yerel dosya dahil etme (LFI) saldırılarını önceden tespit edebilir ve engelleyebilirsiniz. Aşağıda, WAF kurallarını kullanarak uygulanabileceğiniz bazı örnekler yer alıyor:

SecRule REQUEST_URI "@streq /path/to/vulnerable/endpoint" "id:100,phase:2,deny,status:403"
SecRule FILES_TMPNAMES "@rx \.\./" "id:101,phase:2,deny,status:403"
SecRule ARG_NAMES "@streq file" "id:102,phase:2,deny,status:403"

Yukarıdaki kurallar, potansiyel LFI saldırılarını durdurmak için dosya yollarını kontrol eder ve belirli bir dosya adı geçen talepleri engeller. Böylelikle, root (kök) dizinden veya istenmeyen dizinlerden dosyaların dahil edilmesini önleyebilirsiniz.

Kalıcı sıkılaştırma (hardening) yöntemleri arasında, sistemde yalnızca gerekli olan hizmetlerin sunulması ve gereksiz olanların devre dışı bırakılması da önemli bir adımdır. PRTG gibi ağ izleme araçları için sadece gerekli portların açık tutulması ve erişim sınırlarının ayarlanması gerekir. Örneğin, yönetici arayüzüne yalnızca belirli IP adreslerinin erişmesine izin vererek, genel internete açık konumdan yapılacak saldırıların riskleri azaltılabilir.

Ayrıca, kimlik doğrulama mekanizmalarının güçlendirilmesi büyük bir öneme sahiptir. Güçlü parolalar, iki aşamalı doğrulama (2FA) gibi yöntemlerin uygulanması, yapılandırmanın güvenliğini artıracaktır. Yönetici hesaplarının daha sık aralıklarla kontrol edilmesi ve gerektiğinde bu hesapların düzenli olarak yenilenmesi de, olası bir güvenlik tehdidini azaltmak için faydalı olacaktır.

Son olarak, sistemin düzenli olarak denetlenmesi (audit) ve güvenlik açıklarının taranması (vulnerability scanning) önerilir. Her türden zafiyet tarayıcıları kullanarak sistemdeki güvenlik açıklarını tespit edebilir ve bunları giderme yoluna gidebilirsiniz. Örnek bir tarama aracı olarak, Nessus, OpenVAS gibi araçlar tercih edilebilir.

Tüm bu adımları uygulamak, Paessler PRTG Network Monitor'ün güvenliğini artıracak ve CVE-2018-19410 zafiyetine karşı alınan tedbirlerle birlikte sistemin dayanıklılığını güçlendirecektir. Unutulmamalıdır ki, sürekli güncellemeler ve sistemlerin izlenmesi, güvenli bir ağ ortamının oluşturulmasında temel unsurlardır.