CVE-2020-6287: SAP NetWeaver Missing Authentication for Critical Function Vulnerability

Zorluk Seviyesi: Başlangıç | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-6287, SAP NetWeaver uygulama sunucularında tespit edilen ciddi bir güvenlik açığıdır. Bu zafiyet, kritik işlevler için gerekli olan kimlik doğrulamasının eksikliği nedeniyle; kötü niyetli kişilerin, kimlik doğrulama gerçekleştirilmeksizin yapılandırma görevlerini yerine getirmesine ve yönetici kullanıcıları oluşturmasına olanak tanımaktadır. Bu tür bir zafiyet, genellikle bir uygulamanın güvenliğini sağlamak için kullanılan temel önlemleri bypass ederek (atlayarak) gerçekleşir. Bu durum, aynı zamanda CWE-306 olarak bilinen "Missing Authentication for Critical Function" (Kritik İşlevler için Eksik Kimlik Doğrulama) kategorisine de girmektedir.

SAP NetWeaver, çeşitli iş uygulamalarının yönetimi için kritik bir altyapı sunan ve dünya genelinde birçok sektörde kullanılan bir platformdur. Bu tür bir zafiyet, özellikle kamu sektörü, sağlık hizmetleri, finans ve üretim gibi veri ile yüksek düzeyde etkileşim içinde olan sektörleri doğrudan etkileme potansiyeline sahiptir. Örneğin, sağlık sektöründe bir saldırganın hasta bilgilerine erişmesi ve bunları değiştirmesi, ciddi sonuçlar doğurabilir. Benzer şekilde, finans sektöründeki bir saldırı, mali kayıplar ve prestij kaybı gibi sonuçlara yol açabilir.

Zafiyetin tarihçesi, 2020 yılının başlarına kadar uzanmaktadır. Bu süre zarfında, SAP güvenlik araştırmacıları tarafından yapılan incelemelerde, uygulamanın iç yapısında kimlik doğrulaması yapılmayan arayüzler tespit edilmiştir. Dikkat çeken bir nokta, bu hata, yazılımın güncel versiyonlarında bile mevcut olduğudur. Böyle bir durum, uzun yıllar boyunca bu platformu kullanan birçok kurumu etkileyebilir. SAP, güvenlik açığını çözmek için bir dizi yamayı ve güncellemeyi zamanında yayınlamış olsa da, birçok kuruluşun güncelleme süreçlerini göz ardı edebileceği düşünüldüğünde, açıkların hala mevcut olma riski bulunmaktadır.

Hedef sistemlerde bir saldırganın faydalanabileceği noktalar arasında, özellikle yapılandırma yönetimi işlevleri öne çıkmaktadır. Örneğin, bir düzenleyici uyumluluk temizliğini sağlamak için, bir saldırgan sistem üzerinde yönetici kullanıcılar oluşturabilir ve bu kullanıcılar aracılığıyla daha fazla hassas bilgiye erişebilir. Bu tarz durumlar, söz konusu platformu kullanan kullanıcılar için ciddi veri ihlalleri ve yasal sorunlara yol açabilir.

Sonuç olarak, CVE-2020-6287 açıkça göstermektedir ki, kritik yazılım işlevlerinin güvenliği, basit bir kimlik doğrulama kontrolünün eksikliği ile tehlikeye atılabilir. Yazılım geliştirme süreçlerinde güvenlik ilkeleri her zaman öncelik taşımalıdır. Kuruluşların, sistemlerini düzenli olarak güncelleyerek bu tür zafiyetlere karşı ne kadar hazırlıklı olduklarını sürekli gözden geçirmeleri gerekmektedir. Bu güvenlik açığının yarattığı riskler, özellikle geniş bir kullanıcı tabanına sahip olan SAP NetWeaver üzerinde ciddi önem taşımaktadır.

Aşağıdaki örnek kod parçası, söz konusu açık üzerinden sistemin nasıl etkileneceğini gösterir:

public void executeCriticalFunction() {
    // Kritik işlev için kimlik doğrulama yapılmaz
    // Bu adım eksik olduğunda, tüm kullanıcılar bu işlevi çağırabilir
    performAdministrativeTasks();
}

Yukarıdaki kodda görüldüğü gibi, kritik bir işlev için kimlik doğrulama mekanizması uygulanmadığında, herkes bu işlevselliği kullanma hakkına sahip olabilmekte ve dolayısıyla sistem üzerinde kötü niyetli eylemler gerçekleştirebilmektedir. Bu tür açıklara karşı sürekli tetikte olmak, bilgi güvenliği alanında çalışan profesyonellerin öncelikli hedeflerinden biri olmalıdır.

Teknik Sömürü (Exploitation) ve PoC

SAP NetWeaver üzerinde CVE-2020-6287 açığı, kritik işlevlere yönelik yetkilendirme eksikliği sebebiyle ciddi bir güvenlik riski taşımaktadır. Bu zafiyet, kötü niyetli kişilerin herhangi bir kimlik doğrulaması gerektirmeden, sistemdeki konfigürasyon görevlerini yürütmesine ve yönetici kullanıcıları oluşturmasına olanak sağlar. Bu durum, özellikle büyük kuruluşların veri bütünlüğü ve güvenliğini tehdit eden tehlikeli sonuçlar doğurabilir.

Söz konusu açıklığın sömürü aşamalarını adım adım inceleyeceğiz. İlk olarak, bir test ortamı oluşturmalısınız; yani, SAP NetWeaver'in zafiyet barındıran bir sürümünü kurmak gerekecektir. Test ortamınızı oluşturduktan sonra, aşağıdaki adımları takip ederek açık üzerinde çalışabilirsiniz.

İlk adım olarak, hedef sistemde bir HTTP isteği aracılığıyla zafiyeti doğrulamak gerekecektir. Aşağıdaki gibi bir GET isteği ile, sistemin belirli bir yapılandırma URL'sine erişim sağlamayı deneyebilirsiniz:

GET /nwa/ HTTP/1.1
Host: hedef_ip

Bu isteği gönderdikten sonra, alınan yanıtın içeriğini gözlemlemelisiniz. Eğer yanıt olarak yönetimsel bir arayüze yönlendirilirseniz, bu durum zafiyetin mevcut olduğunu gösterir.

İkinci adımda, konfigürasyon görevlerini yerine getirmek ve yeni yönetici kullanıcıları oluşturmak için bir POST isteği gönderin. Aşağıdaki Python kodu bir taslak olarak kullanılabilir:

import requests

url = "http://hedef_ip/nwa/"
data = {
    'username': 'yeni_kullanici',
    'password': 'gizli_sifre',
    'role': 'administrator'
}

response = requests.post(url, data=data)

if response.status_code == 200:
    print("Yeni yönetici kullanıcı oluşturuldu!")
else:
    print("Hata:", response.status_code)

Bu noktada, belirtilen verilerle otomatik olarak yeni bir yönetici kullanıcısı oluşturulmuş olur. Ancak, bu aşamanın başarılı bir şekilde gerçekleşebilmesi için hedef sistemin koruma mekanizmalarının devre dışı kalmış olması gerekmektedir. Burada dikkat edilmesi gereken en önemli nokta, etik sınırlar içinde kalmaktır. Zafiyeti test ederken yalnızca yetkili olduğunuz veya izin aldığınız sistemler üzerinde çalışmalısınız.

Üçüncü aşamada, elde edilen yönetici kimlik bilgilerini kullanarak ayrıcalıklı erişime sahip olabilirsiniz. Bunun için, oluşturduğunuz yeni yönetici kullanıcısı ile sisteme giriş yapın. Giriş işlemi sonrasında sistem üzerinde tam yetkiye sahip olursunuz ve bu yetkilerle veri manipülasyonu, kullanıcı ekleme ya da mevcut kullanıcıları silme gibi işlemler gerçekleştirebilirsiniz.

Son olarak, elde edilen bu ayrıcalıkları kötüye kullanmamak ve keşfedilen zafiyet hakkında yetkililere bilgi vermek etik bir zorunluluktur. SAP NetWeaver üzerinde CVE-2020-6287 açığının ele alınması, hem güvenlik açıklarının kapatılması hem de sistemin etkili bir biçimde korunması açısından kritik bir adımdır. Sistem yöneticilerinin, bu tür güvenlik açıklarını hızlı bir şekilde tespit edebilmesi ve gerekli güncellemeleri yapabilmesi için sürekli olarak sistemlerini güncel tutmaları önemlidir. Ayrıca, güvenlik izleme araçlarının ve gelişmiş saldırı tespit sistemlerinin (IDS) kullanılması, bu tür zafiyetlerin hızla tespit edilmesine yardımcı olacaktır.

Kısaca, CVE-2020-6287 gibi zafiyetlerin etkilerini en aza indirmek için öncelikle sürekli eğitim, güncellemeler ve sıkı güvenlik politikaları uygulanmalıdır. Böylece, hem veri güvenliği sağlanır hem de kurumsal itibar korunmuş olur.

Forensics (Adli Bilişim) ve Log Analizi

SAP NetWeaver üzerinde bulunan CVE-2020-6287 zafiyeti, siber güvenlik alanında önemli bir tehdit oluşturmakta. Bu zafiyet, yapılan güvenlik incelemeleri sırasında tespit edilmiş olup, SAP NetWeaver Uygulama Sunucusu Java Platformları için kritik bir yetkilendirme eksikliği (Missing Authentication for Critical Function Vulnerability) anlamına gelmektedir. Bu tür zafiyetler, kötü niyetli kullanıcıların kimlik doğrulama süreçlerini atlatarak, sistem içerisinde kritik yapılandırma görevlerini yerine getirmesine olanak tanıyabilir. Örneğin, bu açık sayesinde bir saldırgan, kimlik doğrulama gerekmeksizin yeni yönetici kullanıcıları oluşturabilir.

Siber güvenlik uzmanları, bu tür zafiyetlerin kötüye kullanıldığını tespit etmek için özellikle log analizi (log analysis) ve SIEM (Security Information and Event Management) çözümlerine yönelmelidir. Zafiyetin etkilerini anlamak ve saldırganların sistem üzerinde oluşturdukları izleri belirlemek için, log dosyalarında belirli imzalara (signature) dikkat edilmelidir.

Özellikle, Access log (erişim logu) ve error log (hata logu) gibi dosyalar kritik bilgiler sunmaktadır. Erişim logları, sistemin kimler tarafından ve hangi işlemlerin gerçekleştirildiğini kaydederken, hata logları şüpheli veya hatalı durumları ortaya çıkarabilir.

Access log içeriğinde, kimlik doğrulama sürecinin atlandığine dair olarak kullanıcıların yetkisiz erişim talepleri (unauthenticated access attempts) gözlemlenebilir. Eğer bir kullanıcı belirli bir işlevselliğe erişimi olmaksızın, sistem üzerinde yönetici hakları gerektiren bir operasyona girişimde bulunuyorsa, bu durum büyük bir şüphe uyandırmalıdır. Konuyla ilgili bir örnek vermek gerekirse, aşağıdaki gibi bir log girdisi, bir siber güvenlik uzmanının dikkatini çekmelidir:

192.168.1.100 - - [10/Oct/2020:13:55:36 +0000] "POST /admin/createUser HTTP/1.1" 200 1234

Yukarıdaki log girdisinde, bir kullanıcının kimlik doğrulama süreci bulunmadan ‘/admin/createUser’ gibi kritik bir işlevselliğe ulaştığı görülmektedir. Bu, potansiyel bir yetkilendirme atlatma (auth bypass) girişimindendir.

Hata logları da benzer şekilde kritik bir rol oynamaktadır. Eğer sistem, beklenmedik bir hata veya istisna durumu (exception) veriyor ise, bu durum zafiyetin istismar edildiğini gösterebilir. Örneğin, bir yönetici kullanıcı yaratma işlemi sırasında meydana gelen hata mesajları (error messages) ve bunların sıklığı, bir saldırının varlığını işaret edebilir. Aşağıdaki örnekte, hata logu içerisindeki bir kayıt, ciddi bir riski işaret ediyor:

ERROR: Unauthorized access attempt to critical function at /admin/createUser

Bu tür durumlar, bir siber güvenlik analistinin kaydedilmesini ve takip edilmesini gereken olaylar olarak not alınmalıdır.

Sonuç olarak, CVE-2020-6287 zafiyetinin kötüye kullanıldığını tespit etmek için, erişim ve hata logları dikkatle incelenmeli, şüpheli aktiviteler tespit edilmelidir. Bu tür yaklaşımlar, sistemin güvenlik seviyesini artırmak ve potansiyel saldırıları önlemek için hayati önem taşımaktadır. Unutulmamalıdır ki, güçlü bir log analizi yaparak, bir sistemdeki zayıf noktaları tespit eden ve önlemler oluşturan bir siber güvenlik uzmanı olmak, tehditlerle başa çıkmanın en etkili yolu olacaktır.

Savunma ve Sıkılaştırma (Hardening)

SAP NetWeaver, büyük işletmelerde yaygın olarak kullanılan bir uygulama sunucusu platformudur. Ancak, bu platformda bulunan CVE-2020-6287 zafiyeti, kritik işlevler için kimlik doğrulamasının eksik olması nedeniyle büyük bir güvenlik riski taşımaktadır. Bu zafiyet, kötü niyetli aktörlerin kimlik doğrulaması olmadan yapılandırma görevlerini icra etmelerine ve yönetici kullanıcılar oluşturmalarına olanak tanır. Bu makalede, bu zafiyeti kapatmanın yolları, alternatif firewall kuralları ve kalıcı sıkılaştırma (hardening) önerileri üzerinde durulacaktır.

Öncelikle, CVE-2020-6287 zafiyetini gidermek için öncelikle sistem güncellemeleri yapılmalıdır. SAP, ürünleri için düzenli olarak güvenlik güncellemeleri yayınlamaktadır. Sistemi güncel tutmadan, başka önlemler almanın etkisi sınırlı olabilir. Güncellemeleri uygularken, sistemin yedeğini almayı unutmayın, çünkü bazen güncellemeler uyumsuzluk yaratabilir.

Zafiyeti etkili bir şekilde kapatmanın yollarından biri, boşta olan ve gereksiz işlevleri devre dışı bırakmaktır. Örneğin, ebeveyn işlevlerini, kullanıcı yönetim araçlarını veya diğer yönetici düzeyindeki arayüzleri gereksiz yere açmayın. Bu tür gereksiz işlevlerin kapatılması, kötü niyetli aktörlerin sisteme sızma olasılığını düşürür.

Alternatif güvenlik duvarı (WAF - Web Application Firewall) kuralları, bu tür zafiyetlere karşı koruma sağlamak için etkili olabilir. Özellikle, uygulama seviyesinde filtreleme yapan WAF kuralları, belirli URL’lere veya istemci isteklerine karşı koruma sağlamak amacıyla yapılandırılabilir. Örneğin, yapılandırma URL'lerine gelen isteklere hedef alacak şekilde, aşağıdaki gibi bir WAF kuralı uygulanabilir:

SecRule REQUEST_URI "@streq /sap/bc/bsp/sap" \
    "id:1001,phase:1,deny,status:403"

Bu kural, belirli bir isteği engelleyerek, yetkisiz erişimi sınırlamaya yardımcı olur. Her ne kadar WAF kullanımı önemli bir önlem olsa da, sistemin temel yapısının da güvenli olduğunu teyit etmek bir o kadar kritiktir.

Kalıcı sıkılaştırma önerileri uygulandığında, sistemin genel güvenliğini en üst düzeye çıkarmak mümkündür. Öncelikle, sahip olduğunuz her kullanıcı rolü için kullanıcıların sadece ihtiyaç duydukları erişim çeşitli ilkeleri uygulayın. Örneğin, yönetici erişim düzeyindeki kullanıcıların sayısını minimum seviyeye indirin. Ayrıca, kullanıcıların şifrelerini belirli periyotlarla yeniden değiştirmeleri için kurallar oluşturun, bu da şifre kırma (Brute Force) riskini azaltır.

Düzenli olarak güvenlik denetimleri ve penetrasyon testleri gerçekleştirmek, sisteminizdeki olası zafiyetlerin tespit edilmesine ve kapatılmasına yardımcı olur. Özellikle beyaz şapkalı hackerlardan (white hat hacker) hizmet almak, sisteminizin güvenliğini test etmenin ve olası açıkları kapatmanın etkili bir yoludur.

Son olarak, eğitim ve farkındalık artırma programları da uygulamanız gerekmektedir. Çalışanlarınıza, sosyal mühendislik saldırılarına karşı nasıl korunacakları ve sistem güvenliğinin nasıl sağlanacağı konularında eğitimler verin. Böylece, iç tehditleri minimize edebilir ve güvenli bir çalışma ortamı oluşturabilirsiniz.

Sonuç olarak, SAP NetWeaver platformundaki CVE-2020-6287 zafiyeti ciddiye alınmalı ve bir dizi güvenlik önlemi ile kapatılmalıdır. Sistem güncellemeleri, gereksiz işlevlerin kapatılması, WAF kullanımı, kalıcı sıkılaştırma önlemleri ve eğitim programları, bu tür zafiyetlerin etkilerini en aza indirmek için etkili stratejilerdir. Kullanıcı ve sistem güvenliğini artırmak, modern siber tehditler karşısında kritik bir yerde durmaktadır.