CVE-2019-10758: MongoDB mongo-express Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

mongo-express, MongoDB veritabanını yönetmek için kullanılan bir web tabanlı arayüze sahip bir uygulamadır. Ancak, bu uygulamanın 0.54.0 öncesindeki versiyonları, uzaktan kod çalıştırma (RCE - Remote Code Execution) zafiyeti ile karşı karşıya kalmıştır. Bu zafiyet, toBSON metodunu kullanan uç noktalar aracılığıyla istismar edilebilmektedir. RCE zafiyeti, siber güvenlik dünyasında en tehlikeli zafiyet türlerinden biri olarak kabul edilir çünkü saldırganların hedef sistemde kötü amaçlı kod çalıştırmasına olanak tanır.

Zafiyetin tarihine bakıldığında, mongo-express'in 0.54.0 sürümünden önceki versiyonlarının bu zafiyeti içerdiği tespit edilmiştir. 2019 yılında güvenlik uzmanları, özellikle veri merkezleri ve bulut hizmetleri sağlayıcıları gibi sektörlerin hedef alındığına dikkat çekmiştir. Saldırganlar, zafiyetin bulunduğu versiyonları kullanan uygulamalar üzerinde uzaktan kod çalıştırarak, veri hırsızlığı, hizmet kesintisi ya da sistemin tamamen ele geçirilmesi gibi çeşitli kötü niyetli eylemler gerçekleştirebilmiştir.

mongo-express'in kaynak kodunda, toBSON metodu, veri dönüşümleri sırasında belirli girilen verilere erişim sağlamak için kullanılır. Ancak, bu metodun zayıf noktaları, kullanıcıların giriş yaptığı veriler üzerinde yeterince sağlam doğrulama yapılmadığında kötüye kullanılabilir. Örneğin, bir saldırgan, şu tür bir istek yaparak sistem üzerinde kötü amaçlı bir kod çalıştırabilir:

curl -X POST http://<TARGET_IP>:<TARGET_PORT>/api/execute \
-H "Content-Type: application/json" \
-d '{"data": {"$where": "function() { some_code_here(); }"}}'

Bu tür bir istek, mongo-express’in arka planda MongoDB veritabanına bir komut göndermesine neden olabilir. Saldırganlar, bu zafiyeti kullanarak veritabanındaki hassas verilere erişebilir veya sistemi tamamen kontrol altına alabilir.

Dünya genelinde mongo-express kullanan birçok sektör, bu zafiyetten etkilenmiştir. Örneğin, finans sektöründeki şirketler, veri analizi yapmak için mongo-express'i kullanırken, savunmasız kalan sistemleri nedeniyle kötü niyetli saldırılara maruz kalmışlardır. Ayrıca eğitim sektörü, çeşitli araştırma projeleri ve veri yönetimi için mongo-express'ten yararlanmakta, bu bağlamda güvenlik açıkları nedeniyle veri kaybı yaşamıştır.

Sonuç olarak, mongo-express'in bu kritik zafiyeti, kurumsal güvenlik stratejilerini gözden geçirmek adına önemli bir fırsat sunmaktadır. Organizasyonlar, düzenli olarak yazılımlarını güncelleyerek bu tür zafiyetlere karşı savunmalarını güçlendirmeli ve herhangi bir açıklık tespit edildiğinde hızlıca müdahale etmelidir. Ayrıca, güvenli kod yazma konusunda eğitimler vererek, yazılımcıların bu tür zafiyetlerle daha iyi başa çıkmalarını sağlamak kritik bir gereklilik halini almıştır. Bu tür önlemlerle, uzaktan kod çalıştırma (RCE) gibi ciddi tehditlere karşı daha dayanıklı bir altyapı oluşturulabilir.

Teknik Sömürü (Exploitation) ve PoC

MongoDB mongo-express uygulamasındaki CVE-2019-10758 zafiyeti, uzaktan kod yürütme (Remote Code Execution - RCE) potansiyelini barındırmaktadır. Bu zafiyet, mongo-express 0.54.0 sürümünden önceki sürümlerde yer almaktadır. Saldırganlar, bu güvenlik açığını kullanarak sistemde zararlı komutlar çalıştırabilir ve etkili bir şekilde sistemin kontrolünü ele geçirebilirler. Şimdi, bu zafiyetin nasıl sömürülebileceğine dair adım adım bir teknik içerik sunalım.

Öncelikle, mongo-express'de bu zafiyetin tetiklendiği toBSON metodunun işlevini anlamak önemlidir. Bu metod, veri yapılarının BSON formatına dönüştürülmesine olanak tanır. Ancak, bu metodun doğru bir şekilde sınırlandırılmamış olması, saldırganların kendi kodlarını geçirebilmesine olanak tanır.

Sömürü sürecine başlarken, kurban sistemin mongo-express uygulamasının bir sürümünü çalıştırdığını doğrulamak gerekir. Bunu yapmak için, hedef sunucuya basit bir HTTP istek gönderilebilir:

GET / HTTP/1.1
Host: hedef-sunucu.com

Bu istek ile gelen yanıt, mongo-express arayüzünün çalışıp çalışmadığını doğrulamak için kullanılabilir. Eğer hala eski bir sürüm kullanılıyorsa, aşağıdaki adımlar ile zafiyetin sömürüleceği bir aşamaya geçilebilir.

İlk olarak, RCE açığını tetiklemek için, toBSON metodunu kullanan bir endpoint'e saldırı yapılmalıdır. Gerekli payload, temel olarak zararlı kodun BSON formatında gönderilmesine dayanır. Örnek bir payload şu şekilde olmalıdır:

{
  "$expr": {
    "$function": {
      "body": "function() { require('child_process').exec('komut'); }",
      "args": [],
      "lang": "js"
    }
  }
}

Bu payload, JavaScript ile yazılmış bir fonksiyon içerir ve child_process modülü aracılığıyla çalıştırılacak komutları tanımlar. Bu noktada, gönderilecek komut kısmına dikkat edilmelidir; istediğiniz herhangi bir sistem komutunu buraya yazabilirsiniz.

Payload hazırlanırken aşağıdaki HTTP isteği gönderilebilir:

POST /api/endpoint HTTP/1.1
Host: hedef-sunucu.com
Content-Type: application/json

{ 
  "$expr": { 
    "$function": { 
      "body": "function() { require('child_process').exec('echo Merhaba'); }", 
      "args": [], 
      "lang": "js" 
    } 
  } 
}

Bu isteği gönderdiğinizde, sunucudan gelecek yanıt kontrol edilmelidir. Eğer MongoDB sunucusu izin veriyorsa, belirtilen komut başarıyla çalıştırılacak ve bu durumda sonuç olarak "Merhaba" metni dönecektir.

Saldırı gerçekleştirildiğinde, sistem üzerindeki yetkiler elde edilebilir. Ancak bu tür eylemlerde dikkat edilmesi gereken en önemli unsurlardan biri, hedef sistemin yasal haklarının ihlali olmamasıdır. White Hat Hacker olarak, bu tür güvenlik açıklarını örtbas etmek veya kötüye kullanmak yerine, sisteme zarar vermeden yasal yollarla bildirilmelidir.

CVE-2019-10758 zafiyeti, mongo-express kullanıcıları için ciddi bir tehdit oluşturmaktadır. Bu tür zafiyetlerin önlenebilmesi için, uygulamaların en güncel sürümlerinin kullanılmasının yanı sıra, yeterli güvenlik önlemlerinin alınması da önemlidir. Kötü niyetli kişilerin bu tür zafiyetleri kullanabilmesi için açık bırakılan kapıları kapatmak, siber güvenlik dünyasında büyük bir adım olacaktır.

Forensics (Adli Bilişim) ve Log Analizi

MongoDB mongo-express, geliştiricilere MongoDB veritabanlarıyla etkileşimde bulunma imkanı tanıyan bir web arayüzüdür. Ancak, 0.54.0 sürümünden önceki versiyonları, Remote Code Execution (Uzak Kod Çalıştırma) zafiyeti barındırmaktadır. CVE-2019-10758 olarak tanımlanan bu zafiyet, saldırganların belirli uç noktalar aracılığıyla sunucuda komut çalıştırmasına olanak tanır. Bu durum, kötü niyetli kullanıcıların sistem kontrolünü ele geçirmesine neden olabilir.

Bir "White Hat Hacker" olarak, bu tür bir saldırının izlerini tespit edebilmek için log analizi ve adli bilişim tekniklerine hakim olmak son derece önemlidir. MongoDB mongo-express üzerinde gerçekleşen potansiyel bir RCE saldırısını tespit etmek için, SIEM (Security Information and Event Management) çözümleri veya log dosyaları üzerinde belirli imzalara göz atmak gerekecektir.

Saldırının izlerinin araştırılması için öncelikle Access Log (Erişim Logları) ve Error Log (Hata Logları) dosyalarına odaklanılmalıdır. Erişim loglarında, beklenmedik GET veya POST istekleri, özellikle de şüpheli URL parametreleri bulunuyor ise, bu durum dikkatlice incelenmelidir. Örneğin, aşağıdaki gibi bir log girişi:

192.168.1.10 - - [10/Oct/2023:13:55:36 +0300] "POST /api/sampleEndpoint HTTP/1.1" 200 2326 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36"

Yukarıdaki logda, özellikle "POST /api/sampleEndpoint" kısmı, eğer bu uç nokta normalde kullanılmıyorsa, bir RCE saldırısının gerçekleşmiş olabileceğine işaret edebilir.

Error loglarında ise, sunucu tarafından kaydedilen hatalar ve istisnai durumlar gözlemlenmelidir. Özellikle, toBSON methoduyla ilgili hata mesajları, potansiyel bir saldırı girişimini işaret edebilir. Aşağıdaki gibi bir hata mesajı, bu durumu gösterebilir:

Error: Invalid BSON input at toBSON

Bu tür mesajlar, mongo-express'in zafiyetinden yararlanarak bir saldırganın girişimlerini tespit etme açısından kritik öneme sahiptir. Tespit edilen bu tür anormallikler, sistem yöneticisinin hemen müdahale etmesini gerektirir.

Ayrıca, sistemdeki tüm uç noktaların ve API arayüzlerinin güvenliğini sağlamak için güncellemelerin takip edilmesi ve zafiyetlere karşı düzenli taramalar yapılması hayati önem taşır. MongoDB mongo-express’in zafiyetlerinden korunmak için, kullanıcıların mümkün olan en kısa sürede 0.54.0 veya daha yeni bir sürüme güncelleme yapması, bu tür saldırılardan korunmanın en etkili yollarından biridir.

Sonuç olarak, bir siber güvenlik uzmanı olarak, saldırının izini sürerken sadece log dosyalarını incelemekle kalmayıp, aynı zamanda sistem mimarisini ve kullanılan teknolojileri de anlamanız gerekmektedir. Burada dikkatli bir gözlem ve analitik bir bakış açısı, siber güvenlik tehditlerini önceden tahmin etmek ve müdahale etmek için kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

MongoDB, veritabanı yönetim sistemleri içinde oldukça yaygın kullanılan bir teknolojidir. Ancak, mongo-express 0.54.0'dan önceki sürümlerinde, toBSON metodunu kullanan uç noktalar üzerinden uzaktan kod yürütme (Remote Code Execution - RCE) açıkları içermektedir. Bu tür zafiyetler, kötü niyetli kullanıcıların sisteminize sızmasına ve zararlı kodlar çalıştırmasına olanak tanır. Bu nedenle, mongo-express uygulamanızı kullanırken dikkat etmeniz gereken kritik güvenlik önlemleri bulunmaktadır.

Öncelikle, zafiyetin kaynağını anlamak önemlidir. toBSON metodu, MongoDB’nin ikili seri hali olarak verilerle etkileşime geçerken kullanılır. Kötü niyetli veriler bu metod aracılığıyla sistemde zararlı kodların çalıştırılmasına neden olabilir; dolayısıyla kullanıcıdan gelen veya dış kaynaklardan alınan verilerin daima doğrulanması ve temizlenmesi oldukça kritiktir. Çözüm olarak, mongo-express'in güncel sürümünü kullanmak, bu tür zafiyetleri en baştan kapatmanızı sağlar.

Açığın etkilerini en aza indirmek için birkaç temel adım atabilirsiniz:

1. Güncelleme (Update): En etkili ve basit çözüm, mongo-express'in en güncel sürümünü yüklemektir. Bu, yeni güvenlik yamaları ile birlikte gelmektedir ve var olan açıkları kapatır. MongoDB resmi web sitesinden veya GitHub deposundan güncellemeleri takip etmelisiniz.

2. Güvenlik Duvarı Kuralları (Firewall Rules): Web Uygulama Güvenlik Duvarı (WAF), uygulamanızı korumanın bir başka etkili yoludur. Aşağıda, mongo-express uygulamanızı korumak için eklenebilecek bazı WAF kuralları örnekleri verilmiştir:

   # SQL Injection koruması
   SecRule ARGS "union select" "deny,status:403,id:1001"
   # Script Enjeksiyonu koruması
   SecRule ARGS "@rx (eval\()|(exec\()|(system\()" "deny,status:403,id:1002"

3. Erişim Kontrolleri (Access Controls): Uygulamanızın yalnızca yetkili kişiler tarafından erişilebilmesi gerekir. MongoDB veya mongo-express'in kullanıcı ve rol yönetimi özelliklerini kullanarak kimlerin sisteme erişebileceğini sınırlayabilirsiniz.

4. Aylık Güvenlik Tarama (Security Scanning): Uygulamanızın güvenliğini düzenli olarak tarayarak, potansiyel zafiyetleri erkenden tespit etmek önemlidir. Araçlar kullanarak (OWASP ZAP, Nessus vb.) güvenlik açığı taramaları düzenleyebilirsiniz.

5. Güvenli Kod Geliştirme: Yazılım geliştiricilerinizin güvenlik odaklı kod yazma pratiği benimsemesi, yazılımınızın güvenliğini önemli ölçüde artırabilir. Özellikle, kullanıcıdan gelen verilerin daima doğrulanması ve temizlenmesi gerektiğini vurgulamakta fayda var.

Gerçek dünya senaryolarında, bir işletmenin mongo-express uygulaması üzerinden dış saldırılara maruz kalması durumunda, bu tür zafiyetler ciddi veri kayıplarına veya sistemlerin işleyişinin durmasına neden olabilir. Kod yürütme (RCE) saldırıları, sistem yöneticilerinin uygulama sunucuları üzerinde tam kontrol elde etmesine olanak sağlar ve bu da veri ihlallerine yol açabilir.

Sonuç olarak, mongo-express uygulamanızda bu zafiyetin kapatılması için düzenli güncellemeler yapmalı, güvenlik önlemlerinizi artırmalı ve yazılım geliştirme sürecinde güvenliği ön planda tutmalısınız. Alınan bu önlemler sayesinde, sistema yönelik olası tehditleri en aza indirebilir, güvenli bir işletim ortamı oluşturabilirsiniz.