CVE-2021-27878 · Bilgilendirme

Veritas Backup Exec Agent Command Execution Vulnerability

Veritas Backup Exec'teki CVE-2021-27878 zafiyeti, saldırganların komut yürütmesine olanak tanıyor.

Üretici
Veritas
Ürün
Backup Exec Agent
Seviye
yüksek
Yayın Tarihi
03 Nisan 2026
Okuma
8 dk okuma

CVE-2021-27878: Veritas Backup Exec Agent Command Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Veritas Backup Exec, veri yönetiminde yaygın olarak kullanılan bir yazılımdır ve birçok kuruluş için kritik öneme sahiptir. Ancak, 2021 yılında keşfedilen CVE-2021-27878 zafiyeti, bu yazılımın güvenliğini tehdit eden önemli bir açığı beraberinde getirmiştir. Bu zafiyet, Veritas Backup Exec Agent üzerinde komut yürütme (command execution) yetkisi sağlar. Böylece, kötü niyetli bir saldırgan, veri yönetim protokolü komutlarını kullanarak BE Agent makinesinde komutlar çalıştırma imkanı elde edebilir.

CWE-287 olarak sınıflandırılan bu zafiyet, kimlik doğrulama (authentication) eksikliğinden kaynaklanmaktadır. Yani, sistemin belirli yetkilere sahip kullanıcılara kapalı olması gereken bazı komutlarını, doğru bir kimlik doğrulaması olmadığında bile çalıştırmak mümkün hale gelmiştir. Bu durum, siber güvenlik alanında kritik bir tehdit oluşturmaktadır.

CVE-2021-27878 zafiyetinin teknik detaylarına girmeden önce, geçmişine göz atmak önemlidir. Bu zafiyet, Veritas’ın Backup Exec Agent yazılımında, dinamik veri yönetim protokollerinin kullanımı sırasında meydana gelmiştir. 2021 yılı itibarıyla, birçok kurumsal yapının veri yedekleme ve geri yükleme süreçlerinde hala geniş bir kullanım alanı bulmaktadır. Veritas Backup Exec, özellikle büyük veri merkezleri ve sağlık, finans gibi hassas veri işleyen sektörlerde yoğun olarak tercih edilmektedir. O nedenle, zafiyetin etkileri bu sektörlerde oldukça yıkıcı olabilmektedir.

Kötü niyetli bir saldırgan, bu zafiyeti kullanarak hedef makinelerde uzaktan komutlar çalıştırabilir. Örneğin, bir sağlık kuruluşundaki yedekleme sistemine sızan bir saldırgan, hasta verilerine erişim sağlayabilir ya da kritik yedekleme verilerini silebilir. Bu durum, hem yasal sorunlara hem de itibar kaybına yol açabilir.

Veritas Backup Exec’teki bu zafiyetin etkisi yalnızca sağlık sektöründe değil, aynı zamanda finans sektöründe de olumsuz sonuçlar doğurabilir. Bir bankanın yedekleme sistemine yapılan bir sızma, müşteri verilerinin çalınmasına veya değiştirilmesine yol açabilir. Hatta kurumsal rekabet içinde de büyük kayıplara sebep olabilir.

Saldırıların önlenmesi ve sistem güvenliğinin sağlanması açısından, yazılım güncellemelerinin düzenli olarak yapılması ve güvenlik açıklarının takip edilmesi son derece önemlidir. Kurumlar, zafiyetin tespit edilmesiyle birlikte, mümkün olan en kısa sürede ilgili yamaların uygulanmasına yönelmelidir.

Sonuç olarak, CVE-2021-27878 zafiyeti, Veritas Backup Exec Agent üzerinde önemli bir tehdit oluşturmakta ve farklı sektörlerdeki kuruluşlar için ciddi riskler barındırmaktadır. "White Hat Hacker" perspektifinden bakıldığında, bu tür zafiyetlerin tespiti ve giderilmesi, sadece yazılım geliştiricileri ve güvenlik uzmanlarının değil, aynı zamanda tüm kurumların sahiplenmesi gereken kolektif bir sorumluluktur. Güvenli bir veri yönetim altyapısına sahip olmak, her kurum için öncelikli hedef olmalıdır.

Teknik Sömürü (Exploitation) ve PoC

Veritas Backup Exec (BE) Agent'taki CVE-2021-27878 zafiyeti, potansiyel bir saldırganın hedef makinede komut çalıştırmasına izin veren bir Komut İcra (Command Execution) açığıdır. Bu zafiyet, veri yönetim protokolü komutlarının yanlış bir şekilde işlenmesi nedeniyle ortaya çıkmaktadır. Söz konusu sorun, yetkilendirme eksikliklerinden (Authorization Bypass) kaynaklanmakta ve etkilenmiş sistemlerde ciddi güvenlik açıklarına yol açabilmektedir. Bu makalede, bu zafiyetin nasıl sömürülebileceğine dair hedef odaklı bir yaklaşım sergileyeceğiz.

İlk aşama, hedef sistemin doğrulanmasını sağlamaktır. Zafiyeti keşfetmeden önce, hedef sistemin Veritas Backup Exec Agent'ı çalıştırdığından emin olmak gerekmektedir. Bunun için, sistem üzerinde çalışan hizmetleri sorgulamak, veya ağda bu hizmete yönelik bir tarama gerçekleştirmek oldukça etkilidir. Aşağıda bir ağ taraması yapmak için kullanılabilecek bir nmap komut örneği bulunmaktadır.

nmap -p 10000 --script http-methods <hedef_ip>

Tarama tamamlandıktan sonra, eğer sistemin üzerinde Veritas Backup Exec Agent çalışıyorsa, sonraki aşama potansiyel komutları göndererek bu açıktan faydalanmaktır. Söz konusu zafiyetten yararlanmak için, HTTP üzerinden belirli bir veri yönetim protokol komutu oluşturmak gerekiyor. Bu komut sayesinde, zafiyeti sömürebilir ve hedef sistemde komut çalıştırabilirsiniz. Burada önemli olan, doğru parametreleri kullanarak sistemdeki açıkları tetiklemektir. Şimdi bu aşamaya geçelim.

Sömürü sürecinde doğru HTTP isteğini oluşturmanız gerekecek. Örnek bir HTTP isteği aşağıdaki gibidir:

POST /backup_exec/command HTTP/1.1
Host: <hedef_ip>
Content-Type: application/json
Authorization: Bearer <token>

{
    "command": "id; uname -a"
}

Yukarıdaki istemde "command" alanına, çalıştırmak istediğiniz komutu ekleyebilirsiniz. Bu isteği hedef makinaya gönderdikten sonra, yanıtı almak için alan sunucunun yanıtını incelemelisiniz. Başarılı bir girişim sonrası, yanıt olarak sistem bilgileri almanız muhtemeldir.

Herhangi bir uygulama üzerinde zafiyet ararken, dengeyi sağlamak önemlidir. Test süreçlerinizde her zaman etik hacker (White Hat Hacker) olarak hareket etmelisiniz ve izin almadan herhangi bir sisteme sızma girişiminde bulunmamalısınız. İşletmelerin bu tür zafiyetlere karşı bilgi sahibi olmasının ve sistemlerinin düzenli olarak güncellenmesinin önemini vurgulamak gerekmektedir. Aynı zamanda, güvenlik duvarları ve diğer savunma mekanizmalarının kurulu olduğundan emin olmak önemlidir. Denetim ve düzenli güncellemeler, herhangi bir potansiyel saldırının etkisini azaltmak için hayatidir.

PoC (Proof of Concept) çalışmalarında, belirli bir komutu çalıştırarak sistemin tepkisini gözlemlemelisiniz. Buradaki hedef, nasıl bir zarar verebileceğinizin yanı sıra, aynı zamanda sistem yöneticilerine de zafiyetin ciddiyetini göstermek olmalıdır. Gerçek dünyada bu tür zafiyetler üzerinden yapılan saldırılar, genellikle büyük veri kayıplarına, reputasyon kaybına ve finansal zararlara neden olmaktadır.

Sonuç olarak, CVE-2021-27878 zafiyeti, Veritas Backup Exec Agent ürünündeki önemli bir güvenlik açığını temsil etmekte. Bu zafiyetin sömürü methodlarıyla ilgili bilgileri doğru bir şekilde kullanarak, sistemlerinizin güvenliğini artırmak için gereken önlemleri alabilirsiniz. Güvenlik açığı bilgilerini değerlendirirken her zaman etik standartlara uygun davranmalısınız.

Forensics (Adli Bilişim) ve Log Analizi

Veritas Backup Exec Agent içindeki CVE-2021-27878 zafiyeti, siber güvenlik dünyasında ciddi bir endişe kaynağı olmuştur. Bu zafiyet, saldırganların uzaktan kod çalıştırmasına (Remote Code Execution - RCE) olanak sağlamaktadır. Bir beyaz şapka hacker (white hat hacker) olarak, bu tür zafiyetlerin tespit edilmesi ve ortamda var olan tehlikelerin ortadan kaldırılması üzerine odaklanmalıyız.

Öncelikle, Veritas Backup Exec Agent platformunun nasıl çalıştığını ve bu platformun yapılandırmalarını anlamak kritik öneme sahiptir. Veritas Backup Exec, yedekleme ve veri kurtarma süreçlerini yönetmek için yaygın olarak kullanılan bir yazılımdır. Ancak, içindeki zafiyet nedeniyle, kötü niyetli bir kullanıcı, veri yönetim protokolü komutlarını manipüle ederek hedef sistemde komut çalıştırma yeteneğine sahip olabilir.

Bu tür bir saldırının tespit edilmesi, adli bilişim (forensics) ve log analizi açısından büyük bir önem taşır. Siber güvenlik uzmanları, sistem kayıtlarını dikkatlice inceleyerek ve belirli imzalara (signature) bakarak olası saldırıları belirlemelidir.

Log dosyalarında dikkat edilmesi gereken ana noktalar şunlardır:

  1. Erişim Logları (Access Logs): Erişim logları, sistemdeki tüm giriş denemelerini ve bu denemelerin sonuçlarını kaydeder. Anormal IP adreslerinden gelen veya hiç beklenmeyen zaman dilimlerinde yapılan giriş denemeleri, dikkat edilmesi gereken bir durumdur. 
   192.168.1.105 - - [24/Oct/2023:13:45:12 +0000] "GET /api/v1/command HTTP/1.1" 404 2324
   192.168.1.106 - - [24/Oct/2023:13:45:15 +0000] "POST /api/v1/command HTTP/1.1" 200 532

Yukarıdaki logda, bir çeşit anormal erişim gözlemlenebilir; burada farklı IP adreslerinden hızlı bir şekilde gelen istekler, potansiyel bir saldırıyı işaret edebilir.

  1. Hata Logları (Error Logs): Hata logları, sistemdeki hataları ve uyarıları kaydeder. Eğer loglar, komutların başarıyla çalıştırıldığını ve beklenmeyen hatalar ile sonuçlandığını gösteriyorsa, bu da bir RCE saldırısının belirtileri olabilir.
   ERROR: Command execution failed for /api/v1/command
   WARNING: Unauthorized access attempt at [timestamp]

  1. Anomalik Davranış Analizi: Kullanıcıların normalde yapmadığı işlem türleri ve zamanlamaları, potansiyel bir saldırganın aktivitelerine dair ipuçları verebilir. Bu nedenle, kullanıcı davranışlarının analizi önemlidir.

  2. Sistem Davranışları ve İmzalar: Sistem içerisinde anormal davranış gösteren süreçler veya beklenmeyen komutların çalıştırılması RCE zafiyetinin işareti olabilir. Örneğin, sistemde normalde görünmeyen bir sürecin başlatıldığına dair loglar; bu sürecin adı ve çağrıldığı komutlar incelenmelidir:

   INFO: Process started: /tmp/evil_script.sh

Bu tür log analizlerinde, trend gözlemlerine de dikkat edilmelidir. Zamanla tekrar eden anormal etkinlikler, daha geniş çaplı bir saldırının habercisi olabilir. Ayrıca, kurumsal düzeyde uygulanan güvenlik duvarları ve izleme sistemleri, bu tür tehditleri daha etkin bir şekilde tespit etmek için kullanılması gereken araçlardır.

Siber güvenlik uzmanları, sistemdeki bu tür potansiyel tehditleri tespit ederek önleyici tedbirler almalı ve bu zafiyetlerden etkilenmiş olabilecek sistemleri acilen güncellemeli ya da yapılandırmalıdır. Adli bilişim süreci, sadece saldırının tespit edilmesi değil, aynı zamanda saldırının etkilerinin değerlendirilmesi ve gelecekteki tehditlerin önlenmesi açısından kritik bir rol oynamaktadır.

Savunma ve Sıkılaştırma (Hardening)

Veritas Backup Exec, kurumsal veri yedekleme ve yönetimi için sıklıkla tercih edilen bir çözümdür. Ancak, CVE-2021-27878 olarak bilinen bir komut yürütme açığı (command execution vulnerability) bu ürün üzerinde ciddi bir güvenlik riskine neden olabilir. Bu zafiyet, bir saldırganın veri yönetim protokolü komutları kullanarak, BE Agent makinesinde komut yürütmesine olanak tanır. Bu tür bir uzaktan komut yürütme açığı (RCE) (uzaktan kod çalıştırma) ile, bir saldırgan, hedef sistemde zararlı yazılımları kurma veya veri çalma gibi eylemler gerçekleştirebilir.

Bu tür bir zafiyeti önlemenin birçok yolu bulunmaktadır. İlk olarak, Veritas Backup Exec Agent yazılımının en güncel sürümünü kullanmak kritik öneme sahiptir. Yazılım güncellemeleri genellikle mevcut güvenlik açıklarını kapatmak ve mevcut sistemin güvenliğini artırmak amacıyla yayınlanır. Uzun vadeli bir çözüm olarak, düzenli olarak güncellemelerin kontrol edilmesi ve uygulanması önerilir.

Ek olarak, alternatif firewall (WAF) kuralları uygulamak, bu tür güvenlik açıklarının kötüye kullanılmasını önlemeye yardımcı olabilir. WAF, web uygulamalarını hedefleyen dolaylı saldırılara karşı koruma sağlar ve belirli kuralların uygulanmasıyla kötü amaçlı komutların sistem üzerinde çalıştırılmasını engelleyebilir. Örneğin, aşağıdaki gibi bir WAF kuralı kullanılabilir:

SecRule REQUEST_HEADERS:User-Agent "MaliciousUserAgent" "id:12345,phase:2,deny,status:403"

Bu kural, zararlı bir kullanıcı aracı (User-Agent) ile gelen istekleri engelleyecek şekilde tasarlanmıştır.

Ayrıca, sıkılaştırma (hardening) prosedürleri, sistemin güvenliğini artırmak için çok önemlidir. İşletim sisteminin ve uygulamanın sadece gerekli olan bileşenlerin kurulu olduğu bir konfigürasyon sağlanmalıdır. Örneğin, Veritas Backup Exec'in yüklü olduğu sunucuda gereksiz servislerin kapatılması ve yalnızca düşük haklı kullanıcılar tarafından erişilebilen kısıtlı bir kullanıcı hesabı ile çalışılması önerilir. Bu tür uygulamalar, "auth bypass" (kimlik doğrulama atlatma) gibi saldırı tekniklerine karşı da dayanıklılığı artırır.

Ek olarak, güvenliği artırmak için ağ segmentasyonu uygulanabilir. Yedekleme yazılımının bulunduğu sunucuların, network üzerindeki diğer kritik sistemlerden izole edilmesi, herhangi bir güvenlik açığı durumunda potansiyel tehditlerin yayılmasını önleyebilir. İyi tasarlanmış bir ağ mimarisi, saldırganların belirli sistemlere erişimini zorlaştırır.

Son olarak, düzenli ve kapsamlı bir güvenlik testi süreci yürütmek, potansiyel zafiyetlerin tespit edilmesine ve kapatılmasına yardımcı olabilir. Penetrasyon testleri, var olan güvenlik açıklarını (örneğin, buffer overflow - tampon taşması) ortaya çıkarmak için kullanılabilir. Bu tür testler, sistemin güvenliğinin sürekli izlenmesi için kritik bir unsurdur.

Veritas Backup Exec Agent üzerindeki CVE-2021-27878 açığının etkisini azaltmak için yukarıda belirtilen stratejilerin uygulanması, kurumların güvenliğini önemli ölçüde artıracaktır. Güvenlik, sürekli bir süreç olduğundan, sistemlerinizi sürekli güncel tutmayı ve siber tehditlere karşı proaktif olmayı unutmayın.