CVE-2020-17530 · Bilgilendirme

Apache Struts Remote Code Execution Vulnerability

Apache Struts'ta OGNL değerlendirmesi, uzaktan kod yürütmeye neden olabilecek ciddi bir güvenlik açığı.

Üretici
Apache
Ürün
Struts
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-17530: Apache Struts Remote Code Execution Vulnerability

Zorluk Seviyesi: İleri | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-17530, Apache Struts platformunda önemli bir uzaktan kod yürütme (Remote Code Execution - RCE) zafiyetidir. Apache Struts, Java tabanlı bir framework olup, web uygulamalarının geliştirilmesinde yaygın olarak kullanılan bir kütüphanedir. Bu zafiyet, 2020 yılı itibarıyla belirlenmiş ve saldırganların sistemlere uzaktan erişim sağlamasına olanak tanıyan bir güvenlik açığı olarak kaydedilmiştir.

Zafiyetin kökeni, Forced Object-Graph Navigation Language (OGNL) değerlendirmesinin, kullanıcı girdisi üzerinde yanlış bir şekilde uygulanmasından kaynaklanmaktadır. OGNL, nesne grafiği üzerinde navigasyon yapmayı sağlayan bir ifade dilidir ve genellikle Apache Struts'ta kullanıcı girdisiyle etkileşimli tag'lerde kullanılmaktadır. Ancak, zafiyetten etkilenen sürümlerde, saldırganlar uygun olarak filtrelenmemiş kullanıcı girdisini girdi olarak sağladıklarında, bu girdinin OGNL ifadeleri olarak değerlendirilmesine sebep olabiliyorlar. Bu da, saldırganların sistem üzerinde istenmeyen komutlar çalıştırmasına olanak tanımaktadır.

Dünya genelinde birçok sektörü etkileyen CVE-2020-17530 zafiyeti, özellikle finans, sağlık ve kamu sektörleri gibi web tabanlı uygulamaların yaygın olduğu alanlarda büyük bir tehdit oluşturmuştur. Örneğin, bir finansal kurumun web portali üzerinden gerçekleştirilecek bir saldırı, hem maddi zarara hem de veri ihlaline yol açabilir. Sağlık sektörü gibi kritik alanlarda, hasta verilerinin güvenliği için bu tür zafiyetlerin varlığı ise son derece tehlikelidir. Kamu sektöründe ise, hükümet uygulamalarına enfekte olan bir zafiyet, vatandaşların kişisel bilgilerinin tehlikeye girmesine neden olabilir.

CVE-2020-17530 zafiyeti kapsamında Apache Struts kütüphanesinde yapılan güncellemeler, bu tür saldırılara karşı koruma sağlamak amacıyla hızlı bir şekilde geliştirilmiş ve kullanıcıların riskini azaltmayı amaçlamıştır. Ancak, zafiyetin tarihçesi ve etkileri göz önünde bulundurulduğunda, kullanıcıların yazılım güncellemelerini ve güvenlik yamalarını düzenli bir şekilde uygulamaları son derece önemlidir.

Gerçek dünya senaryolarında, zafiyet üzerinde yapılan istismarların nasıl gerçekleştiğine dair birkaç örnek verilebilir. Örneğin, bir siber saldırgan, bir web uygulamasına otomatik olarak gönderilen bir HTTP isteği aracılığıyla, kendi OGNL ifadelerini içeren bir veri gönderir. Eğer uygulama bu verileri doğru bir şekilde filtrelemezse, saldırganın komutları uygulamanın arka ucunda yürütülmeye başlar. Saldırgan, bu sayede CRUD (Create, Read, Update, Delete) işlemleri üzerinde tam kontrol sağlar. Bu tür bir zafiyetin istismarında, genellikle iz bırakmadan sistemin yönetim paneline erişim sağlamak için belirli teknikler kullanılır.

Sonuç olarak, CVE-2020-17530, Apache Struts üzerindeki kritik bir uzaktan kod yürütme zafiyetidir ve etkileri geniş bir yelpazeye yayılmaktadır. Kullanıcıların bu tür zafiyetlere karşı dikkatli olmaları, güncellemelerini düzenli bir şekilde gerçekleştirmeleri ve güçlü güvenlik önlemleri almaları gerekmektedir. Unutmayalım ki, güvenlik, sadece yazılımın kendisiyle değil, aynı zamanda onu kullanan kişilerin de bilinçli olmasıyla sağlanır.

Teknik Sömürü (Exploitation) ve PoC

Apache Struts, dünya çapında birçok web uygulamasında yaygın olarak kullanılan bir çerçevedir. Fakat, özellikle CVE-2020-17530 zafiyeti gibi güvenlik açıkları, bu çerçeveyi kullanan uygulamaların ciddi risklerle karşılaşmasına neden olabilir. Bu zafiyet, aşağıda belirttiğimiz temel adımlar ile teknik sömürüye tabi tutulabilmektedir.

Zafiyetin temelinde, kullanıcının girdilerini doğrudan OGNL (Object-Graph Navigation Language) ile değerlendirme yeteneği yatmaktadır. Bu zafiyet, kötü niyetli bir aktörün uzaktan kod çalıştırmasına (Remote Code Execution - RCE) olanak tanır. Bu tür bir açık, özellikle büyük ve karmaşık web uygulamalarında yıkıcı sonuçlar doğurabilir.

İlk adım, hedef sistemin Apache Struts kullandığını doğrulamaktır. Bunun için, genellikle uygulamanın yanıt sürelerini ve hata mesajlarını incelemek yeterli olabilir. Ancak, daha otomatik yöntemler tercih edilebilir. Örneğin, şu HTTP isteği ile belirli bir endpoint'e saldırı yapmak için bir kullanıcı girdisi gönderilebilir:

GET /vulnerable/endpoint?param=%23%7B%23a%3D%40org.apache.struts2.ServletActionContext%40getResponse%28%29%2C%23a%2EaddHeader%28%27X-My-Header%27%2C%27Hacked%27%29%7D HTTP/1.1
Host: target-website.com

Yukarıdaki örnek, OGNL kullanarak bir header eklemeye yönelik basit bir denemedir. Eğer bu isteğe olumlu bir yanıt alınırsa, sistemin zayıf olduğu doğrulanmış olur.

İkinci adımda, sistemin tepkisini gözlemlemek önemlidir. Hedefin belirli bir cevabı olup olmadığını veya hata mesajları gönderip göndermediğini kontrol edin. Eğer hata mesajları veya beklenmedik yanıtlar alınırsa, bunu daha ileri bir saldırı için hazırlık olarak değerlendirebiliriz.

Üçüncü adımda, arka planda çalıştırılabilecek bir komut belirleyin. Örneğin, sistemde çalışan belirli bir hizmeti hedef alabilirsiniz. Basit bir sistem komutu çalıştırmak için OGNL, aşağıdaki gibi bir şekli alabilir:

GET /vulnerable/endpoint?param=%23%7B%23a%3D%40java.lang.Runtime%40getRuntime%28%29%2C%23a%2Eexec%28%27cmd%20%2Fc%20echo%20Hacked!%27%29%7D HTTP/1.1
Host: target-website.com

Bu istekle, sunucu komut satırına erişim sağlanmış olur ve burada Hacked! metni bir çıktı olarak görünebilir. Eğer çıkış başarılı olursa, sistem üzerinde komut çalıştırılabilir.

Dördüncü adım, elde edilen yetki seviyesini artırmak veya daha fazla bilgi edinmek olabilir. Payload’lar yazarken dikkat etmeniz gereken nokta, her zaman izlenmeden kaçınmaktır. Bazı durumlarda, deneyi tekrarlamak veya farklı parametreler ayarlamak da gerekebilir.

Son adım ise, potansiyel olarak bu zafiyeti kapatmak için güncelleştirmelerin yapılmasıdır. Apache Struts, sürekli güncellenen bir projedir ve bu nedenle zafiyetlerin en azından durumlarını kontrol etmek ve güncel yamaları uygulamak önemlidir.

Bu zafiyetin kapsamı ve sağladığı etkiler göz önünde bulundurulduğunda, sistem sahibi veya geliştiriciler tarafında gerekli önemlerin alınması kritik öneme sahiptir. Zayıf noktaların giderilmesi, olası bir saldırının önlenmesi için büyük bir adımdır. White Hat Hacker olarak, güvenlik açıklarının tespiti ve bu zayıflıkların kapatılması konusundaki sorumluluğumuz büyüktür. Unutmayın, güvenli bir sistem, hem geliştiricilerin hem de kullanıcıların sorumluluğundadır.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2020-17530, Apache Struts içinde yer alan ciddi bir güvenlik açığıdır. Bu zafiyet, kullanıcı tarafından sağlanan verilerin OGNL (Object-Graph Navigation Language) ile değerlendirilmesi sırasında, kötü niyetli kişiler tarafından remote code execution (uzaktan kod yürütme) (RCE) yapılmasına olanak tanır. Apache Struts, birçok web uygulamasında yaygın olarak kullanılan bir framework olduğu için, bu tür zafiyetlerin potansiyel etkileri oldukça büyüktür. Özellikle, siber güvenlik uzmanları ve forensics (adli bilişim) analistleri için log analizi ve olay yanıtı süreci, bu tür tehditlerin tespitinde kritik öneme sahiptir.

Gerçek dünya senaryolarında, bu tür bir zafiyetin hedef alındığını anlamak için bazı teknik göstergeleri incelemek gerekir. Örneğin, log dosyalarında olağan dışı istihbari faaliyetler, sıklıkla dikkate alınması gereken ipuçlarıdır. Apache Struts uygulamaları için sıklıkla baktığımız log türleri arasında Access log (erişim logu) ve Error log (hata logu) bulunmaktadır. Bu log dosyalarında inceleyeceğimiz imzalar ve göstergeler, potansiyel bir saldırıyı tespit etmemize yardımcı olabilir.

Öncelikle Access log üzerinde gerçekleştirilecek incelemelerde, kullanıcı girişlerindeki anomali ve olağandışı isteklere dikkat edilmelidir. Örneğin, GET veya POST taleplerinin normalde beklenmeyecek şekilde uzun veya karmaşık URL parametreleri içermesi, potansiyel bir OGNL ifadesinin enjekte edilmeye çalışıldığını gösteren bir işaret olabilir. 

GET /example/struts/action?param=%{#context.get('java.lang.Runtime').getRuntime().exec('malicious_command')} HTTP/1.1

Bu gibi bir istek, bir saldırganın sistemde komut çalıştırmak amacıyla OGNL'yi kullanmaya çalıştığını gösterebilir.

Error log dosyalarında ise, hataların analizi kritik bir aşamadır. Apache Struts’ta ortaya çıkan hatalar, genellikle OGNL ifadelerinin değerlendirilmesi sırasında meydana gelir. Hata mesajlarının içeriğinde OGNL veya RuntimeException gibi anahtar kelimeleri bulmak, bir exploit girişiminin varlığını işaret edecek önemli göstergelerdir. 

ERROR [org.apache.struts] (http-nio-8080-exec-1) OGNL evaluation failed: 
java.lang.RuntimeException: malicious command execution attempt

Bu tür hatalar, sistem üzerinde bir güvenlik açığı araştırması yapılması gerektiğinin işaretini verir.

Ek olarak, log analizinde belirli bir zaman diliminde artan istek sayıları veya belli URL'lere karşı artış gösteren istekler, bir "brute force" (kaba kuvvet) saldırısının işareti olabilir. Saldırganlar genellikle zayıf noktalara yoğunlaşıp, üzerinde bulanık bir sessizlik oluşturarak sistemin tam potansiyeliyle etkilenmesine sebep olabilirler. Böyle durumlarda, belirli IP adreslerine veya kullanıcı ajanlarına (User Agent) odaklanmak, saldırılar hakkında daha fazla bilgi edinmeye yardımcı olabilir.

Siber güvenlik uzmanlarının log analizinde kullanacakları diğer yöntemler arasında makine öğrenimi tabanlı anomali tespiti sistemleri de yer alabilir. Bu tür sistemler, normal kullanıcı davranışlarını öğrenerek bu davranışların dışına çıktıklarında alarm vermek üzere eğitilebilir.

Sonuç olarak, Apache Struts üzerindeki CVE-2020-17530 zafiyetinin kötüye kullanılma ihtimalini azaltmak için, log analizinin detaylı bir şekilde yapılması, ani aktivitelerin gözlemlenmesi ve anormal isteklerin tespiti hayati öneme sahiptir. Uygulanacak önleyici tedbirler sayesinde, sistemin güvenliği artırılabilir ve potansiyel saldırı yolları kapatılabilir.

Savunma ve Sıkılaştırma (Hardening)

Apache Struts, açık kaynaklı bir framework olarak web uygulamaları geliştirmek için yaygın bir şekilde kullanılmaktadır. Ancak, CVE-2020-17530 numaralı zafiyet, bu framework’un belirli bir versiyonundaki kritik bir güvenlik açığını ortaya koymaktadır. Bu zafiyet, Kullanıcı girdisinin (user input) doğrudan OGNL (Object-Graph Navigation Language) değerlendirmesi yapılması yoluyla uzaktan kod yürütmeye (remote code execution, RCE) olanak sağlayabilmektedir. Struts uygulamaları, OGNL ifadelerini değerlendirmek için birçok yerden kullanıcı girişi alabilmektedir ki bu da saldırganların kötü niyetli kodları uygulamaya enjekte etmelerine yol açar.

Bu tür bir zafiyetin potansiyel etkilerini anlamak önemlidir. Düşünün ki, bir hacker (kötü niyetli yazılımcı) basit bir form üzerinden sisteme erişim sağlamış olsun. Bu formda girdi alanına bir OGNL ifadesi yerleştirilerek, arka planda çalışan sunucu kodu üzerinde tam yetki ile işlem yapabilir. Saldırgan, sunucu ortamında zararlı yazılımlar yükleyebilir veya veri sızdırabilir. Bu, ciddi veri kayıplarına ve sistemlerin tam kontrolünün kaybolmasına neden olabilir.

Bu güvenlik açığını kapatmanın en etkili yolu, Apache Struts uygulamalarında kullanılan OGNL değerlendirmelerini kesinlikle sınırlamak ve kullanıcı girdilerini sıkı bir şekilde doğrulamaktır. Örneğin, uygulamanın girdi alanlarında belirli karakter gruplarının (örneğin, “#” veya “@”) kullanılmasını tamamen yasaklamak, bu tür zafiyetlerin önüne geçebilir. Kullanıcı girdilerini temizlemek ve doğrulamak için aşağıdaki gibi bir Java kodu kullanabilirsiniz:

public String sanitizeInput(String input) {
    return input.replaceAll("[^\\w\\.\\-]", ""); // Yalnızca alfanümerik karakterler, nokta ve tireye izin ver
}

Ayrıca, Web Application Firewall (WAF) gibi güvenlik önlemleri almak da oldukça önemlidir. WAF, gelen istekleri analiz eder ve kurallara dayalı olarak kötü niyetli aktiviteleri engelleyebilir. Örneğin, aşağıdaki WAF kuralı, OGNL ifadeleri içeren istekleri tespit edip engelleyebilir:

SecRule ARGS ".*(ognl|#).*" "id:123456,phase:2,deny,status:403"

Kalıcı sıkılaştırma (hardening) önerileri arasında, Apache Struts versiyonunuzun güncel tutulması önemlidir. Her zaman en son güvenlik yamalarını ve güncellemeleri uyguladığınızdan emin olun. Ek olarak, uygulamanızı mümkün olduğunca güvenli bir sunucu ortamında çalıştırmalı, gereksiz modülleri kaldırmalı ve yalnızca gerekli izinleri vermelisiniz. Sunucu yapılandırmasında gereksiz bilgi sızıntısını önlemek için, hata mesajlarını yapılandırmalısınız. Örneğin:

<error-page>
    <exception-type>java.lang.Throwable</exception-type>
    <location>/error.jsp</location>
</error-page>

Sonuç olarak, Apache Struts uygulamalarında güvenlik açıkları ile başa çıkmak ve sisteminizi korumak için, ilk aşamada etkili bir kullanıcı girdi doğrulama ve sanitasyon süreci uygulamak kritik öneme sahiptir. Bunun yanında, güvenlik duvarı kullanmak ve sistemi periyodik olarak güncellemek de uzun vadede alınacak en iyi önlemlerdir. Hem bu zafiyetten korunmak, hem de güvenlik kültürünü güçlendirmek, organizasyonların siber tehditlere karşı daha dirençli hale gelmesini sağlayacaktır.