CVE-2021-21166: Google Chromium Race Condition Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2021-21166, Google'ın Chromium tarayıcı motoruna dayanan uygulamalarda bulunan bir race condition (yarış durumu) zafiyetidir. Bu zafiyet, saldırganların belirli bir HTML sayfasını kullanarak heap corruption (yığın bozulması) gerçekleştirmelerine olanak tanıyor. Zafiyetin temelinde, çoklu iş parçacıklarının aynı kaynak üzerinde bir arada çalışması sonucu yol açılan, beklenmeyen durumlar yatmaktadır. Bu tür zafiyetler, kötü niyetli kullanıcıların, tarayıcıda kötü amaçlı kod yürütmesine (remote code execution - RCE) veya verileri manipüle etmesine yalnızca bir adım mesafe bırakır.

Zafiyetin ortaya çıkışı, 2021 yılının Şubat ayında yaşandı ve duyuruldu. En son Chromium güncellemeleri ile bu zafiyet giderilmiş olsa da, bu durumun dikkate alındığı yaygın uygulamalar arasında, Google Chrome, Microsoft Edge ve Opera gibi popüler web tarayıcıları bulunmaktadır. Bu nedenle, bu tarayıcıları kullanan bireyler ve kurumsal yapılar, bu zafiyetten etkilenme riski taşımaktadır.

Gerçek dünyada, bu tür zafiyetler genellikle finansal hizmetler, sağlık hizmetleri gibi kritik sektörlerde ciddi hasara yol açabilir. Örneğin, bir siber saldırganın bir bankacılık uygulamasında bu zafiyeti kullanarak kötü niyetli bir kod çalıştırma olanağı bulması, kullanıcıların hesaplarına erişim sağlamasına veya finansal bilgileri çalmasına yol açabilir. Benzer şekilde, sağlık sektöründe bir hastanenin online sistemine sızarak hasta bilgilerini tehlikeye atmak, bu tür zafiyetlerin ne denli ciddi sonuçlar doğurabileceğini göstermektedir.

Zafiyetin kaynağı, Chromium'un kaynak kodunda bulunan bir bellek yönetim hatasıdır. Chromium'un tasarımında, iş parçacıkları aynı kaynaklar üzerinde işlemler yaparken beklenen sırayı takip etmezse, bu durum bir race condition meydana getirir. Bu gibi durumlarda, bellek üzerindeki veriler bozulabilir ve bu da saldırganlar için fırsat oluşturur. Aşağıda bu duruma örnek teşkil edebilecek basit bir JavaScript kod parçasını inceleyelim:

let sharedArray = new ArrayBuffer(1024);

function task1() {
    for (let i = 0; i < 1000; i++) {
        // Yığın üzerinde işlem yapıyor
        let view = new Uint8Array(sharedArray);
        view[i] = Math.random() * 255;
    }
}

function task2() {
    for (let i = 0; i < 1000; i++) {
        // Yığın üzerinde başka bir işlem yapıyor
        let view = new Uint8Array(sharedArray);
        console.log(view[i]);
    }
}

Promise.all([task1(), task2()]);

Yukarıdaki örnekte, task1 ve task2 işlevleri aynı paylaşılmış yığın üzerinde işlem yapmaktadır. Eğer bu iki işlem aynı anda çalıştırılırsa, task1'in verileri değiştirmesi sonucunda task2 beklenmedik sonuçlar alabilir. Bu tür bir bellek bozulması, güvenlik açıklarına yol açmakla kalmaz, aynı zamanda sistemin çökmesine veya istisnai durumlarla karşılaşmasına da neden olabilir.

Sonuç olarak, CVE-2021-21166 zafiyeti, yazılım mühendisliğinde race condition sorunlarının ne kadar önemli olduğunu gözler önüne seriyor. Geliştiriciler ve güvenlik uzmanları, bu tür zafiyetlere karşı savunma mekanizmalarını sürekli olarak gözden geçirmeli ve tatbik etmeli. Siber güvenlik açısından bu tür açıkların varlığını azaltmak ve kullanıcıları korumak adına, güncellemelerin düzenli bir şekilde yapılması büyük önem taşımaktadır.

Teknik Sömürü (Exploitation) ve PoC

Google Chromium üzerinde keşfedilen CVE-2021-21166, potansiyel olarak uzaktan bir saldırganın kontrol altına alabileceği bir bellek yığını (heap) bozulmasıyla sonuçlanan bir yarış koşulu (race condition) zafiyetidir. Bu zafiyet, özellikle Chromium tabanlı tarayıcıların, örneğin Google Chrome, Microsoft Edge ve Opera gibi, kötü niyetli HTML sayfaları aracılığıyla istismar edilebilmektedir. Bu tür zafiyetler, siber güvenlik alanında son derece tehlikeli olup, etkin bir şekilde sömürebilme yeteneği, saldırganlara uzaktan kod çalıştırma (RCE) imkanını sunar.

Söz konusu zafiyeti istismar etmek için adım adım bir rehber sunuyoruz. Ancak, bu bilgileri yalnızca etik davranışlar çerçevesinde ve siber güvenlik testleri için kullanmanız önemlidir.

İlk aşamada, hedef web sayfasını analiz etmemiz gerekiyor. Hedef sayfanın HTML yapısını inceleyerek boş alanlara (payload) yerleştirebileceğimiz zayıf noktaları bulmalıyız. Bu noktalar, genellikle kullanıcı giriş alanları veya dosya yükleme formlarıdır. HTML dosyası ve JavaScript dili kullanarak kötü niyetli bir içerik oluşturmalıyız. Örneğin:

<!DOCTYPE html>
<html>
<head>
    <title>Test Sayfası</title>
    <script>
        function testFunction() {
            // Sağlanan zayıflatılmış veri yapılarını burada oluşturun
        }
    </script>
</head>
<body>
    <h1>Yarış Koşulu Zafiyet Testi</h1>
    <button onclick="testFunction()">Test Et</button>
</body>
</html>

İkinci aşamada, oluşturduğumuz HTML sayfasının belirli bir tarayıcıda çalıştırıldığında, bir yarış koşulu tetikleyerek bellek bozulmasına yol açması sağlanmalıdır. Javascrip'teki asenkron işlemler, bu tür yarış koşullarının ortaya çıkmasına neden olabilir. Aşağıdaki örnek, belirli bir zamanlama ayarlayarak bu durumu simüle edecektir:

let arr = new Array(10000).fill("test");
setTimeout(() => {
    // Burada bellek bozulmasını tetiklemek için kontrol et
    arr.push("saldırı");
}, 1000);

Üçüncü aşama, bu zafiyeti istismar etmek amacıyla bir PoC (Proof of Concept) oluşturulmasını içerir. Zafiyeti geliştirmek için özel bir yükleme içeriği ekleyebiliriz. Örnek bir Python kodu, belirli bir sayfada kodu çalıştırmak için oluşturulabilir.

import requests

url = "http://hedef-web-sitesi.com"
payload = "<script>alert('Zafiyet Testi!');</script>"

response = requests.post(url, data={"input": payload})
print(response.text)

Bu kod, hedef sayfaya bağlanarak şüpheli bir yükleme yapmayı hedefliyor. Sonuç olarak, elde edilen yanıt, zafiyetin etkisi hakkında bilgi verebilir. Belirtilen aşamaları izleyerek, bir bellek bozulma durumunun ortaya çıkması dikkatlice gözlemlenmelidir.

Sonuç olarak, CVE-2021-21166 zafiyeti, tarayıcı güvenliği açısından dikkate alınması gereken önemli bir konudur. Bu tür zafiyetleri keşfetmek ve analiz etmek, yalnızca etik hackerlar tarafından yapılmalıdır. Unutulmamalıdır ki, siber güvenlik testleri ve zafiyet analizleri, asla kötü niyetli amaçlarla kullanılmamalıdır. Bilgilerin kötüye kullanılmaması için, bu eğitim içeriğini sorumlu bir şekilde uygulamak her bireyin sorumluluğudur.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2021-21166 zafiyeti, Google Chromium üzerinde keşfedilmiş bir race condition (yarış durumu) açığını temsil ediyor. Bu tür bir güvenlik açığı, saldırganların kötü niyetli bir HTML sayfası aracılığıyla heap corruption (bellek bozulması) gerçekleştirmesine olanak tanıyabiliyor. Bu durum, Google Chrome, Microsoft Edge ve Opera gibi Chromium tabanlı birçok web tarayıcısını da etkileyebilir. Olası bir saldırı senaryosunda, kullanıcının tarayıcısında kötü amaçlı bir sayfa açması, bu açığın istismar edilmesi anlamına gelebilir. Bu tür bir zafiyet, siber güvenlik uzmanlarının ve "White Hat Hacker"ların yakından takip etmesi gereken bir durumdur.

Saldırının gerçek dünya senaryolarında nasıl gerçekleşebileceğine daha derin bir bakış açısı sunalım. Bir kullanıcı, sosyal mühendislik tekniği ile bait (tuzağa düşürme) olarak kullanılan bir web sitesi aracılığıyla zararlı bir sayfaya yönlendirildiğinde, bu durum saldırganın hedeflediği cihazda CVE-2021-21166 açığını kullanarak bellek alanına erişim kazanmasına neden olabilir. Könlükle bir heap corruption (bellek bozulması) meydana gelir ve sonuç olarak uzaktan kod çalıştırma (RCE - Remote Code Execution) elde edilebilir. Bu sırada tarayıcı, saldırganın dosyalarını çalıştırmak için gerekli tüm yetkilere sahip olacağından, sistemin güvenliği ciddi bir tehdit altına girer.

Bir siber güvenlik uzmanı, bu tür bir saldırının gerçekleştirildiğini anlamak için SIEM (Security Information and Event Management) sistemlerini ve günlük dosyalarını analiz etmelidir. Özel olarak, access log (erişim günlükleri) ve error log (hata günlükleri) üzerinde bazı kritik imzalara dikkat etmek gerekmektedir. Müfettişler, normalden sapmalar, anormal IP adresi erişimleri ve özellikle erişimleri ile eşleşmeyen hata mesajları aramalıdır. Örneğin:

[ERROR] 2023-10-01 14:35:00 - Uncaught Exception in Chrome due to Race Condition.
[ACCESS] 2023-10-01 14:35:01 - IP Source: [malicious_IP] - Page Accessed: [malicious_page.html]

Bu günlük kayıtları, genellikle bir saldırı olduğunu gösteren önemli ipuçları verir. Anormal veya şüpheli IP adresleri, tanınmamış bir alan adı veya aniden artan hata sayıları gibi durumlar, dikkat edilmesi gereken diğer hususlardır. Özellikle, bellek bozulması veya buffer overflow (tampon taşması) ile ilgili hata mesajlarına odaklanmak önemlidir.

Hedef kontrolü sırasında, kullanıcıların hangi URL'lere eriştiği, hangi verileri indirdikleri ve bu süreçte oluşan herhangi bir hata kaydı, potansiyel kötü niyetli etkinlikleri tespit etmek için önemli bilgiler sunar. Kötü amaçlı bir sayfadan dönüş yapılması, kullanıcıların sistemlerinde güvenlik açığı barındıran uygulamaları kullanmaları halinde analiz edilmelidir.

Sonuç olarak, CVE-2021-21166 açığının istismar edilmesi, siber tehditler açısından ciddi riskler doğurmakta ve bu tür zafiyetlerin sistemlerde yarattığı etkileri analiz etmek, siber güvenlik uzmanlarının temel sorumluluklarındandır. Bu nedenle, sürekli log analizi yapmak ve düzenli olarak SIEM sistemleri üzerinden şüpheli aktiviteleri izlemek, güvenlik altyapısının eksiksiz sağlanması adına kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

CVE-2021-21166 zafiyeti, Google Chromium'un bir yarış durumu (race condition) zayıflığını kapsayan ciddi bir güvenlik açığıdır. Bu zayıflık, kötü niyetli bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla bellek bozulması (heap corruption) gerçekleştirmesine olanak tanır. Böyle bir saldırı, Chromium tabanlı çok sayıda web tarayıcısını etkileyebilir. Bu tarayıcılar arasında Google Chrome, Microsoft Edge ve Opera gibi popüler tarayıcılar bulunmaktadır. Dolayısıyla, yalnızca kullanıcılar değil, aynı zamanda geliştiriciler ve sistem yöneticileri de bu zayıflığın etkilerine karşı dikkatli olmalıdır.

Bu tür bir zafiyet genellikle kullanıcıların tarayıcılarını güncellemeyi ihmal ettiklerinde ortaya çıkar. Örneğin, bir kullanıcı güncellemeleri göz ardı ederse ve bir saldırgan bu zayıflığı kullanarak uzaktan kod yürütme (RCE) gerçekleştirebilirse, cihazın kontrolü kaybedilebilir. Bu durum, bir tarayıcıda gezerken kullanıcıların hassas verilerini çalmak veya kötü niyetli yazılımlar yüklemek için kullanılabilir.

Zafiyeti kapatmanın en etkili yollarından biri, kullanıcıların tarayıcılarını düzenli olarak güncellemelerini sağlamaktır. Google, Chromium ve ilgili web tarayıcıları için sürekli olarak güvenlik güncellemeleri yayınlamaktadır ve bu güncellemeler zayıflıkları kapatmayı hedeflemektedir. Geliştiriciler de daha güvenli kod yazma prensiplerine bağlı kalarak zayıflığı ortadan kaldırmak için gerekli önlemleri almalıdır.

Ancak güncelleme dışında alınabilecek başka önlemler de vardır. Web uygulamalarında, Web Application Firewall (WAF) kullanmak, zayıflıkların kötüye kullanılmasını önlemenin etkili bir yoludur. Aşağıda, CVE-2021-21166 zafiyetine karşı koruma sağlamak için kullanılabilecek bazı alternatif WAF kuralları yer almaktadır:

# Potansiyel olarak zararlı HTML içeriklerini engelle
SecRule REQUEST_HEADERS "User-Agent" "MSIE" "id:1001,phase:2,deny,status:403"

# HTML sayfalarındaki beklenmedik bellek erişimlerini tespit et
SecRule ARGS:"<script>" "allow" "id:1002,phase:2,log,deny,status:403"

Kalıcı sıkılaştırma önerileri ise şunlardır:

• Tarayıcıların yalnızca güvenilir kaynaklardan ve güncel kullanıcılardan indirilmesini sağlamak.
• Yalnızca zararlı yazılımlara karşı koruma sağlamak için güçlü bir antivirüs yazılımı kullanmak.
• Yalnızca HTTPS üzerinden yapılan bağlantılara izin vermek ve HTTP üzerinden gelen verileri engellemek.
• İçerik güvenliği politikaları (Content Security Policy - CSP) oluşturmak ve uygulamak. Bu politikalar, belirli içeriklerin tarayıcılara yüklenmesine izin vererek zayıflıkları azaltabilir.

Sonuç olarak, CVE-2021-21166 zafiyeti, kullanıcıların ve sistem yöneticilerinin dikkat etmesi gereken önemli bir güvenlik açığıdır. Hem yazılım güncellemeleri hem de etkili WAF kuralları ile kalıcı sıkılaştırma teknikleri uygulanarak bu tür zafiyetlerin kötüye kullanılma ihtimali azaltılabilir. White Hat Hacker perspektifinden bakıldığında, güvenlik ihlallerinin önlenmesi için proaktif yaklaşımlar geliştirmek, yazılım geliştirme döngüsünün her aşamasında güvenlik düşüncesini entegre etmek hayati önem taşır.