CVE-2021-37415 · Bilgilendirme

Zoho ManageEngine ServiceDesk Authentication Bypass Vulnerability

Zoho ManageEngine ServiceDesk Plus zafiyeti, kimlik doğrulama gerektirmeden bazı API URL'lerine erişim sağlıyor.

Üretici
Zoho
Ürün
ManageEngine ServiceDesk Plus (SDP)
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2021-37415: Zoho ManageEngine ServiceDesk Authentication Bypass Vulnerability

Zorluk Seviyesi: Başlangıç | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2021-37415, Zoho ManageEngine ServiceDesk Plus (SDP) ürününde tespit edilen önemli bir kimlik doğrulama atlama (authentication bypass) zafiyetidir. Zoho, özellikle IT servis yönetimi (ITSM) çözümleri sunan bir şirkettir ve ServiceDesk Plus ürünü, kullanıcıların sıkça tercih ettiği bir araçtır. Ancak, bu zafiyet, ürünün 11302 versiyonundan önceki sürümlerini etkileyerek, belirli REST API URL'lerine kimlik doğrulama olmaksızın erişim sağlamaktadır.

Zafiyetin keşfedilmesi, IT güvenliği alanındaki birçok profesyoneli ve kuruluşu endişeye sevk etmiştir. Bunun nedeni, kimlik doğrulama atlama zafiyetinin, kötü niyetli aktörlerin sisteme yetkisiz erişim elde etmelerine yol açabilmesidir. Söz konusu zafiyetin varlığı, bir siber saldırganın bir kullanıcı gibi davranarak farklı REST API uç noktalarına erişim gerçekleştirmesine olanak tanımaktadır. Bu durum, hassas verilere ulaşım ve kötü amaçlı faaliyetler için bir kapı aralamaktadır.

Gerçek dünyada, bu tür bir zafiyetin potansiyel sonuçları oldukça yıkıcı olabilir. Örneğin, bir siber saldırgan, bir organizasyonun destek sistemine izinsiz olarak girebilir, müşteri bilgilerini, iç yazışmaları ya da diğer kritik verileri çalabilir. Bu durum, finans sektöründen sağlık hizmetleri sektörüne kadar pek çok sektörde hizmet veren kuruluşları etkileyebilir. Çünkü bu tür sistemler genellikle müşteri verilerinin işlendiği, takip edildiği ve saklandığı platformlar olarak kullanılır.

Zafiyetin tarihi, 2021 yılının Temmuz ayından itibaren gelişmeye başlamış; araştırma ve güvenlik denetimleri sırasında sızdırılabilir veriler riskinin fark edilmesiyle gündeme gelmiştir. Zoho, bu zafiyeti resmi olarak 2021'in Eylül ayında kabul etmiş ve 11302 versiyonu ile birlikte bu zafiyeti gidermiştir. Ancak, birçok kuruluşun güncellemeleri uygulamadan önce siber saldırıların gerçekleşmiş olması, bu tür zafiyetlerin zararının ne kadar büyük olabileceğini gösteriyor.

Zafiyet, temel olarak uygulamanın kimlik doğrulama süreçlerindeki bir yanlış yapılandırma veya eksiklikten kaynaklanmaktadır. Teknik olarak, belirli REST API uç noktalarına erişim izni verilmesi, kimlik doğrulama kontrolünden geçmeden çalışmasını sağlıyor. Bu, çoğu zafiyette olduğu gibi, geliştiricilerin güvenlik gereksinimlerini göz ardı etmeleri veya yeterli test aşamalarının atlatılması sonucu meydana gelmiştir.

Küresel düzeyde birçok şirket ve farklı sektörden kuruluşlar, bu tür zafiyetlerin mağduru olabilmektedir. Özellikle finans ve sağlık sektörü, siber güvenlik risklerinin en yüksek olduğu alanlardan biridir. hizmet sunan kuruluşların, bu tür zafiyetlere karşı sürekli güncellemeler ve güvenlik kontrolleri yapmaları gerekmektedir. Ayrıca, herhangi bir şüpheli etkinlik veya olağan dışı durumun tespiti için bir güvenlik izleme mekanizması oluşturulması kritik önem taşımaktadır.

Sonuç olarak, CVE-2021-37415 gibi zafiyetler, sektörlerin siber güvenlik açıklarını göz önünde bulundurarak geliştirilmesi gereken stratejileri ve çözümleri ortaya koymaktadır. Kötü niyetli saldırılara karşı korunmanın tek yolu, sürekli olarak güvenlik önlemlerini güncelleyerek ve zafiyetleri en kısa sürede çözme yoluna gitmektir.

Teknik Sömürü (Exploitation) ve PoC

Zoho ManageEngine ServiceDesk Plus (SDP) ön 11302 sürümlerinin, belirli REST-API URL'lerine kimlik doğrulama olmadan erişime izin veren bir kimlik doğrulama atlama (Authentication Bypass) açığı barındırdığı tespit edilmiştir. Bu açık, kötü niyetli kullanıcıların yetkilendirilmemiş bir şekilde önemli verilere erişmesine ve sistemin kontrolünü ele geçirmesine olanak tanıyabilir. BT altyapısının güvenliği için son derece kritik olan bu tür zayıflıklar, siber güvenlik profesyonelleri tarafından dikkatlice değerlendirilmelidir.

Bu zafiyetten yararlanmak için öncelikle hedef sistemin çalıştığı ağda veya ortamda uygun bir izleme veya keşif aşaması gerçekleştirilmesi gerekir. Hedef sistemin adresi ve REST API'nin çalıştığı uç noktalar belirlenmelidir. Zafiyeti kullanarak başarısız olan kimlik doğrulama mekanizmalarının tahlil edilmesi gerekecektir.

Bir siber güvenlik mühendisi, ilk adımda HTTP isteklerini inceleyeceği bir keşif aşaması başlatabilir. Hedef alınan ManageEngine ServiceDesk Plus sisteminin gerekli portları üzerinden aktif olup olmadığını kontrol etmek için aşağıda verilmiş komut kullanılabilir:

nmap -p 8080,8443 <hedef-ip-adresi>

Eğer hedef üzerinde gerekli portlar açıksa, daha sonra belirli REST API uç noktalarına aşamasız (authentication bypass) erişim sağlamak amacıyla bir HTTP isteği oluşturulmalıdır. Örneğin, aşağıdaki gibi bir curl komutu, yetkilendirme gerektirmeyen bir API yolunu test etmek için kullanılabilir:

curl -X GET "http://<hedef-ip-adresi>:8080/sdp/api/v2/tickets" -H "Accept: application/json"

Eğer hedef sistem bu isteği başarıyla işlerse, sonuç olarak sistemdeki biletler (tickets) ya da diğer hassas verilere erişim sağlanmış olacaktır. Bu, sistemde gerçekleştirilmiş bir kimlik doğrulama atlama olduğunun bir göstergesidir.

Elde edilen erişim, bir adım daha ileri gidilerek sistem içindeki verilere daha derin bir keşif yapılmasına olanak tanır. Hedef sistemin API'sı üzerinden kullanıcı bilgileri, projeler, hizmet talepleri gibi verilere erişim sağlanılması mümkün olabilir.

Sözü geçen zafiyetin kötüye kullanılmasında bir başka adım ise, sistem üzerinde uzaktan komut çalıştırma (RCE) imkânı sağlayacak bir exploit geliştirmek olabilir. Aşağıdaki gibi bir Python taslağı ile hedefe yapılacak bir POST isteği, yazılıma özel bir payload göndererek, kötü niyetli kodun çalıştırılmasına olanak tanıyabilir:

import requests

url = "http://<hedef-ip-adresi>:8080/sdp/api/v2/execute_command"
payload = {
    "command": "ls -la"  # Örnek bir Linux komutu
}

response = requests.post(url, json=payload)

if response.status_code == 200:
    print("Komut başarıyla çalıştırıldı:", response.text)
else:
    print("Hata oluştu:", response.status_code)

Sonuç olarak, Zoho ManageEngine ServiceDesk Plus üzerindeki bu tür bir kimlik doğrulama atlama zafiyeti, siber güvenlik uzmanları tarafından sürekli olarak takip edilmeli ve sistem yöneticileri bu tür açıkları kapatmak için güncellemeleri ve yamaları düzenli olarak uygulamalıdır. Ayrıca, API uç noktalarına erişimin yetkilendirilmesi ve sıkı bir erişim kontrol mekanizmasının tesis edilmesi, güvenlik risklerini minimize etmek adına son derece önemlidir.

Forensics (Adli Bilişim) ve Log Analizi

Günümüzde siber güvenlik alanında sıklıkla karşılaşılan yöntemlerden biri, yazılımlardaki zafiyetleri keşfederek bu zafiyetleri istismar etmeye yönelik saldırılardır. Zoho ManageEngine ServiceDesk Plus (SDP) üzerindeki CVE-2021-37415 koduyla bilinen kimlik doğrulama atlatma (authentication bypass) zafiyeti, bu bağlamda önemli bir örnektir. Bu tür zafiyetler, özellikle doğru log analizi (log analysis) ve adli bilişim (forensics) yöntemleri kullanılarak tespit edilmelidir.

Zoho ManageEngine ServiceDesk Plus versiyon 11302 ve öncesinde, bazı REST-API URL'lerine kimlik doğrulama gereği olmadan erişim sağlanabiliyor. Bu durum, siber saldırganların sistem üzerinde yetkisiz erişim elde etmesine ve hassas verilere ulaşmasına olanak tanıyor. Dolayısıyla, bir siber güvenlik uzmanı olarak, bu tür bir saldırının gerçekleşip gerçekleşmediğini tespit etmek kritik öneme sahiptir.

Saldırının tespit edilmesi için öncelikle SIEM (Security Information and Event Management) sistemleri aktif olarak kullanılmalıdır. Bu sistemler, çeşitli log kaynaklarından gelen verileri derleyerek anomali tespiti yaparlar. ManageEngine uygulamasının logs (log dosyaları), genellikle erişim kayıtları (access log) ve hata kayıtları (error log) gibi önemli bilgileri içermektedir. Özellikle aşağıdaki unsurlara dikkat edilmesi gerekmektedir:

  1. Erişim Kayıtları (Access Logs): Bu loglar, API çağrılarını ve bu çağrıların kim tarafından yapıldığını gösterir. Saldırının bir göstergesi olarak, logs (log dosyalarında) beklenmeyen veya yetkisiz IP adreslerinden gelen istekler aramak faydalı olacaktır. Aşağıdaki örnek, incelemeniz gereken bir log kaydını içermektedir:
   192.168.1.10 - - [12/Mar/2023:10:15:32 +0000] "GET /api/endpoint HTTP/1.1" 200

Yukarıdaki kayıtta, GET /api/endpoint isteği, kimlik doğrulama gerektirmeyen bir endpoint'e işaret ediyorsa, bu potansiyel bir saldırı işareti olabilir.

  1. Hata Kayıtları (Error Logs): Hata logları, sistemdeki hataları ve anormallikleri tespit etmek için kullanılabilir. Belirli bir API isteği sonrasında meydana gelen hata mesajları, yetkisiz erişim denemelerini gösterebilir. Örneğin, bir saldırganın kimlik doğrulama atlatmaya çalıştığını gösteren aşağıdaki örnekte olduğu gibi:
   [ERROR] Authentication failed for user: unknown

  1. Zaman damgası (Timestamp) analizleri: Olayların zamanlamaları da kritik bir rol oynamaktadır. Eğer birden fazla istek, kısa bir zaman dilimi içinde tekrarlanıyorsa, bu durum brute force (kaba kuvvet) saldırısına işaret edebilir.

  2. Anormal trafik analizleri: Normalden çok daha fazla API isteği veya belirli bir endpoint'e odaklanmış istekler, kimlik doğrulama bypass (auth bypass) gibi saldırıları işaret etmek için izlenmelidir. Trafik analizi için kullanılabilecek bir araç, "Sankey diagram" gibi görselleştirme yöntemleridir.

Sonuç olarak, Zoho ManageEngine ServiceDesk Plus'taki CVE-2021-37415 açığından kaynaklı olası bir saldırıyı tespit etmek, doğru log analizi ve SIEM uygulamaları aracılığıyla mümkündür. Erişim ve hata loglarının yanı sıra anormal davranışların analizi, bir siber güvenlik uzmanının yetkisiz erişimlerin önüne geçebilmesi için kritik bir stratejidir. Bu bağlamda, uygun önlemler alınarak sistemin güvenliği artırılmalı ve düzenli olarak log analizi yapılmalıdır.

Savunma ve Sıkılaştırma (Hardening)

Zoho ManageEngine ServiceDesk Plus (SDP) için keşfedilen CVE-2021-37415, bir kimlik doğrulama atlama (authentication bypass) açığıdır. Bu zafiyet, saldırganların belirli REST API URL'lerine kimlik doğrulama olmadan erişmesini sağlamaktadır. Özellikle 11302 sürümünden önceki sürümlerde bulunan bu açık, siber güvenlik dünyasında önemli bir tehdit oluşturmakta. Çünkü yetkisiz erişim, sistemlerin kötü niyetli kişiler tarafından istismar edilmesine yol açabilir.

Gerçek dünya senaryosuna baktığımızda, bir siber saldırganın bu açığı kullanarak, kritik bilgilere ulaşma ya da sistem üzerinde yetkisiz değişiklikler yapma şansı doğmaktadır. Örneğin, bir destek bileti üzerinde yetkisiz güncellemeler yaparak şirketin iş akışlarını etkilemek veya kişisel verileri çalmak gibi kötü niyetli aktiviteler gerçekleştirebilirler. Bu tür durumlar, sadece bir şirketin verilerini değil, aynı zamanda müşterilerinin güvenliğini de riske atan bir durumdur.

Zafiyeti kapatmanın ilk adımı, Zoho ManageEngine ServiceDesk Plus'ı mümkün olan en kısa sürede güncellemektir. Üretici firma, bu açığı kapatmak için bir güncelleme yayınlamıştır ve bu güncellemenin uygulanması, sistemi korumak için önemlidir. Ancak, bu tek başına yeterli değildir. Güvenlik sadece bir yazılım güncellemesi ile sağlanamaz; sistemlerin sürekli olarak sıkılaştırılması (hardening) gerekmektedir.

Ek olarak, güvenlik duvarı kuralları (web application firewall, WAF) kullanarak da ek bir koruma katmanı oluşturulabilir. Önerilen WAF kuralları arasında, yalnızca belirli IP adreslerinin açık olan API uç noktalarına erişmesine izin vermek yer almaktadır. Bu kural sayesinde, yetkisiz kullanıcıların API çağrıları yapmasını engelleyebiliriz. Bunun yanı sıra, aşağıdaki gibi ek kurallar eklenebilir:

# Yalnızca belirli IP aralıklarına izin ver
Allow from 192.168.1.0/24

# 403 yasak yanıtı döndürülmesi için
LocationMatch "^/api/rest/public/" {
   Deny from all
   Allow from 192.168.1.1
}

Sıkılaştırma sürecinde, otomasyon sistemlerine erşime izin veren API'leri kısıtlamak ve sadece gerekli erişimleri sağlamak kritik öneme sahiptir. Ayrıca, tüm API çağrılarının günlüklenmesi (logging) ve düzenli olarak denetlenmesi, olası kötüye kullanımları tespit etmek açısından faydalı olacaktır.

Son olarak, sistemdeki bilgilerin gizliliğini ve bütünlüğünü sağlamak adına, kullanıcıların erişim izinlerinin gözden geçirilmesi ve yalnızca gerekli minimum erişimin verilmesi de önemlidir. Yetkisiz erişimlerin önlenmesi için çok faktörlü kimlik doğrulama (MFA) gibi ek güvenlik önlemleri de uygulamak önerilmektedir.

Tüm bu önlemler, CVE-2021-37415 zafiyetinin neden olabileceği potansiyel zararlara karşı etkili bir güvenlik stratejisi oluşturmaya yardımcı olacaktır. Unutulmamalıdır ki, siber güvenlik sürekli bir süreçtir ve sistemlerin güncel tutulması, kuralların düzenli olarak gözden geçirilmesi ve yeni tehditlere karşı hazırlıklı olmak, organizasyonların bu alandaki dayanıklılığını artırır.