CVE-2022-31199 · Bilgilendirme

Netwrix Auditor Insecure Object Deserialization Vulnerability

CVE-2022-31199, Netwrix Auditor'daki zafiyet ile uzaktan kod yürütme riski. Detaylar burada.

Üretici
Netwrix
Ürün
Auditor
Seviye
yüksek
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2022-31199: Netwrix Auditor Insecure Object Deserialization Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2022-31199, Netwrix Auditor ürünündeki bir güvenlik açığıdır ve bu zafiyet, kullanıcı etkinliği video kaydı bileşeninde bulunan güvensiz bir nesne serileştirme (insecure object deserialization) hatasından kaynaklanmaktadır. Bu açık, uzaktan ve kimlik doğrulaması olmayan bir saldırganın, NT AUTHORITY\SYSTEM kullanıcısı olarak kod çalıştırmasına olanak tanımaktadır. Bu kritik açık, başarılı bir şekilde istismar edildiğinde, saldırganın sistem üzerinde tam yetkiye sahip olmasına ve dolayısıyla ciddi veri ihlallerine yol açmasına neden olabilir.

Bu güvenlik açığı, 2022 yılına ait bir duyuruda fark edilmiştir ve Netwrix Auditor yazılımında, özellikle video kayıt bileşeninde tespit edilmiştir. Kullanılan belirli kütüphanelerde, nesne serileştirme işleminin yeterince güvenli bir şekilde yapılmaması, uzaktan kod yürütme (RCE) senaryolarına kapı aralamaktadır. Bu durum, potansiyel olarak zarar verme ve sistem kontrolü sağlama imkanına sahip olan bir saldırgan için değerli bir giriş noktası oluşturmaktadır.

Güvensiz nesne serileştirme (insecure object deserialization) hatası, bir nesnenin bozulduğu veya değiştirildiği bir durumda, bu nesnenin geri dönüşüm işlemi sırasında ortaya çıkan güvenlik açıklarını ifade eder. Burada, kötü niyetli bir kullanıcı, başka bir kişi tarafından oluşturulmuş bir nesneyi manipüle ederek, sisteme zarar vermek için gereken talimatları içeren bir nesne oluşturabilmektedir. Bu tür bir işlem, genelde sistem yöneticileri tarafından öngörülmediği için, yüksek güvenlik açığı potansiyeli taşır.

Dünya genelindeki etkisi bakımından, CVE-2022-31199 zafiyeti, farklı sektörlerden birçok kurumu tehlikeye atmıştır. Sağlık sektöründen finans sektörüne kadar uzanan birçok alanda, bu tür bir açık sistemlerin güvenliğini derinden sarsabilir. Örneğin, bir sağlık kuruluşu, hasta verilerini korumakla yükümlüdür. Bir saldırganın bu açığı kullanarak sisteme sızması, hasta bilgilerini çalmasına ve dolayısıyla büyük bir veri ihlali yaşanmasına yol açabilir. Benzer şekilde, bankacılık sistemlerinde de bu tür bir hata, finansal kayıplara ve potansiyel dolandırıcılıklara imkan tanıyabilir.

Kuruluşların, bu zafiyetin etkilerini minimize etmek için güvenlik politikalarını gözden geçirmeleri ve güncellemeleri gerekmektedir. Güvenlik duvarları ve ağ erişim kontrolü gibi önlemler, saldırganların belirtilen TCP portuna (9004) ulaşmalarını zorlaştırsa da, bu tür önlemler her zaman yeterli olmayabilir. Olası istismarları önlemek amacıyla, sistem güncellemeleri, yamanın uygulanması ve güvenlik açığı taramaları yapmak gibi proaktif adımlar atılmalıdır.

Sonuç olarak, CVE-2022-31199 gibi önemli güvenlik açıkları, mevcut yazılım sistemlerinin ne kadar savunmasız olabileceğini gösteriyor. Bu tür zafiyetlerin nasıl tespit edileceğini ve nasıl önlemler alınması gerektiğini anlamak, "White Hat Hacker" perspektifinden hareket eden güvenlik uzmanları için kritik bir öneme sahiptir. Her kuruluş, güvenlik açıklarını zamanında tespit edip gerekli tedbirleri almadığı takdirde, sonuçları ağır olabilir.

Teknik Sömürü (Exploitation) ve PoC

Netwrix Auditor, kullanıcılara sistem ve kullanıcı etkinliklerini izleme yeteneği sunan bir araçtır. Ancak, CVE-2022-31199 zafiyeti, bu uygulamanın Video Recording bileşeninde yer alan bir insecur object deserialization (güvensiz nesne serileştirmesi) açığı nedeniyle ciddi riskler taşıdığını ortaya koymaktadır. Bu güvenlik açığı, kötü niyetli bir saldırganın, hedef sistemde NT AUTHORITY\SYSTEM (NT AUTHORITY\SYSTEM) kullanıcısı olarak kod çalıştırmasına olanak tanımaktadır.

Sadece port 9004/TCP'ye erişebilmek yeterlidir. Bu port, çoğu kurumsal güvenlik duvarı tarafından genellikle engellendiği için, başarılı bir saldırı için ağ yapılandırmalarını dikkatlice analiz etmek önemlidir. Bu bölümde, CVE-2022-31199 zafiyetini teknik olarak nasıl sömürebileceğinizi adım adım açıklayacağız.

İlk olarak, hedef sistemde Netwrix Auditor’ın yüklü olup olmadığını doğrulamamız gerekiyor. Bunun için, HTTP istekleriyle aşağıdaki şekilde bir tarama gerçekleştirebiliriz:

curl -I http://<hedef_ip>:9004

Eğer Netwrix Auditor açık ise, bu istek ile sunucudan bilgi alacağız. Aldığımız yanıtta, versiyon bilgileri ve mevcut durumu öğrenebiliriz.

Bir sonraki aşama, güvensiz nesne serileştirme açığından yararlanmak için kullanılacak payload’ı hazırlamaktır. Bu aşamada, Python ile basit bir exploit taslağı oluşturabiliriz. Aşağıdaki örnek, payload oluşturmamıza yardımcı olacaktır:

import requests
import pickle

class Exploit:
    def __init__(self):
        # Use a reverse shell payload
        self.payload = "<your_reverse_shell_code_here>"

    def serialize_payload(self):
        # Serialize the payload using pickle
        return pickle.dumps(self.payload)

    def exploit(self, target_ip):
        # Target URL
        url = f"http://{target_ip}:9004/vulnerable_endpoint"
        headers = {'Content-Type': 'application/octet-stream'}
        data = self.serialize_payload()

        response = requests.post(url, headers=headers, data=data)
        return response

if __name__ == "__main__":
    target = "<hedef_ip>"  # Specify target IP
    exploit = Exploit()
    response = exploit.exploit(target)
    print(response.text)

Bu script, bir reverse shell payload'ı oluşturmak üzere kullanılır. pickle modülünün güvensizliği sayesinde, kötü niyetli bir kullanıcı, kendi oluşturduğu nesneyi hedef sistemde çalıştırabilir. Eğer sistemde güvenlik kontrolleri yeterince güçlü değilse, NT AUTHORITY\SYSTEM olarak kodu çalıştırma pozisyonuna gelebiliriz.

Payload'ın etkinliği, hedef sistemin yapılandırmasına bağlıdır. Eğer sistemde güvenlik çözümleri yoksa ya da zayıf ise, exploitation (sömürü) aşaması başarılı bir şekilde gerçekleşebilir.

Elde edilen erişim ile, hedef sistemde uzaktan kod yürütme (Remote Code Execution - RCE) yeteneğine sahip olunur. Bu noktada, NT AUTHORITY\SYSTEM olarak sistem üzerinde tam yetkiye sahip olduğunuz için, kötü niyetli faaliyetler başlatabilir ya da sistemin önemli bileşenlerine zarar verebiliriz.

Son olarak, her zaman etik bir bakış açısıyla hareket etmek gerektiğini unutmamak önemlidir. Bu tür zayıflıkların farkında olmak ve bunları düzeltmek, işletmelerin güvenliğini sağlamak adına hayati öneme sahiptir. Zafiyetlerden haberdar olmak ve etkili bir savunma mekanizması geliştirmek, ağ güvenliği sandığında atılacak en önemli adımlardan biridir.

Forensics (Adli Bilişim) ve Log Analizi

Siber güvenlik alanında önemli bir konu olan "inadmissible object deserialization" yani "güvenli olmayan nesne serileştirme" açığını anlamak, log analizi yapan bir siber güvenlik uzmanı için oldukça kritik bir yetkinliktir. Özellikle CVE-2022-31199 zafiyeti, Netwrix Auditor yazılımındaki kullanıcı etkinliği video kaydı bileşeninde bulunan bir güvenlik açığı olarak dikkat çekmektedir. Bu zafiyet, kötü niyetli bir saldırganın, özellikle uzaktan kimliği doğrulanmamış bir şekilde sistem üzerine kod çalıştırmasına (RCE - Uzaktan Kod Yürütme) izin vermekle kalmayıp, aynı zamanda NT AUTHORITY\SYSTEM kullanıcı olarak çalışma olanağı tanımaktadır.

Uygulamalarda bulunan bu tür zafiyetlerin tespiti, log analizi ile sağlanabilir. Bir siber güvenlik uzmanı, SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) sistemlerinde veya log dosyalarında (erişim logları, hata logları vb.) bazı belirli imzaları arayarak bu saldırının izini sürmelidir. Zafiyetin istismarına yönelik ilk belirtiler genellikle uygulamalar üzerindeki değişikliklerden veya ani trafik artışlarından kaynaklanır.

Log analizine başlarken, ilk olarak "Access Log" (Erişim Logu) belgelerine bakılmalıdır. Hedef sistemde, port 9004/TCP üzerinde gerçekleştirilen erişim girişimleri dikkatle incelenmelidir. Loglardan şunlar gibi belirtiler aranmalıdır:

  1. Başarısız Giriş Denemeleri: Erişim loglarında, izinsiz giriş girişimleri veya makul olmayan IP adreslerinden gelen çok sayıda deneme, saldırganın mevcut güvenlik açığını araştırdığının bir göstergesi olabilir.
  2. Aşırı Kayıt Zaman Damgaları: Statik zaman damgalarından sapmalar, anormal aktivitelerin işareti olabilir. Örneğin, belirli bir saat diliminde beklenmedik erişim denemeleri.
  3. Hata Mesajları: Hata loglarında, özelleştirilmiş hata mesajları aramak önemlidir. Özellikle, Manifest Loading (Manifest Yükleme) veya Serialization Exception (Serileştirme İstisnası) gibi terimler, saldırının yapıldığına dair bir işaret olabilir.

Logların yanı sıra sistemin davranışındaki anormallikler de dikkat edilmesi gereken başka bir noktadır. Örneğin, sistemin kaynak kullanımında (CPU ve memory kullanımı) olağan dışı bir artış, kötü niyetli kodun çalışmasının bir belirtisi olabilir. Eğer uzaktan bir saldırgan sistem üzerinde NT AUTHORITY\SYSTEM olarak kod çalıştırabiliyorsa, sistemin çoğu fonksiyonu ele geçirebilir. Bu durumda, sistem yöneticileri ile işbirliği yaparak bu durumu analiz etmek ve gerekiyorsa çözümler üretmek önem kazanır.

Ayrıca, CVE-2022-31199 zafiyetinin istismarından sonra meydana gelen network trafiği de incelenmelidir. Normalde olmayan port 9004'e yönlendirilmiş uzaktan bağlantılar, olası bir saldırının izlerini taşıyor olabilir.

Sonuç olarak, güvenli olmayan nesne serileştirme zafiyetleri, pek çok uygulama için ciddi riskler taşımaktadır. Siber güvenlik uzmanları, log analizi yaparken yukarıda belirtilen imzaları ve belirti gruplarını takip ederek bu tür saldırıları önceden tespit edebilir. Böylece, hem sistem güvenliğini artırabilirler hem de olası veri kayıplarını en aza indirme fırsatını yakalayabilirler.

Savunma ve Sıkılaştırma (Hardening)

Netwrix Auditor'daki CVE-2022-31199 zafiyeti, sistem güvencesi bakımından kritik bir tehdit oluşturmaktadır. Bu zafiyet, kullanıcının etkinliklerini video kaydetme özelliği aracılığıyla gerçeklenebilir. Saldırganlar, uzaktan ve kimlik doğrulaması olmadan bu açığı kullanarak NT AUTHORITY\SYSTEM kullanıcısı olarak kod çalıştırabilmektedir. Bu tür bir durum, kötü niyetli bir kullanıcının sistemde tam kontrol elde etmesi anlamına gelir.

Bir gerçek dünya senaryosunda, bir saldırgan, şirketin iç ağındaki bir cihazdan uzaktan içeri bir yönlendirme yaparak, port 9004/TCP üzerinden Netwrix Auditor’a erişebilir. Firewall'un standart yapılandırması çoğu işletmede bu portu engeller, ancak zafiyetin kullanılabilir olabilmesi için zafiyeti hedef alan tarayıcı veya cihazların bu portu açık bırakması gerekmektedir. Bu nedenle, güvenlik uzmanlarının port yönetimine dikkat etmesi son derece önemlidir.

Bu zafiyeti kapatmanın yollarından ilki, Netwrix Auditor’un güncel sürümüne yükselmektir. Yazılım güncellemeleri genellikle mevcut zafiyetleri kapatacak yamalar içerir. Ancak, güncelleme her zaman başlı başına yeterli değildir. Zafiyeti sınırlamak için ek önlemler almak gereklidir.

Firewall üzerinde, port 9004/TCP için gelir ve gider trafiğini dikkatlice kontrol eden kurallar oluşturulmalıdır. Alternatif bir yöntem olarak, uygulama güvenlik duvarı (WAF) kullanarak, CVE-2022-31199 gibi bilinen zafiyetleri hedef alan istekleri engellemek mümkündür. Örneğin, HTTP isteklerinde şüpheli içerikleri inceleyen bir WAF kuralı, JSON objelerine karşı yapılan deserialization (serileştirme) işlemlerinin denetimini gerçekleştirebilir:

# WAF Kuralı: 
SecRule REQUEST_HEADERS:User-Agent "@rx vulnerable-client" "id:12345, phase:2, deny, status:403"

Ayrıca, iç ağ üzerindeki sistemlerin düzgün yapılandırılması gerekmektedir. Gereksiz servislerin kapatılması, sistemlerin yalnızca gerekli olan portları açması ve erişim kontrollerinin sıkı tutulması, zafiyetten kaynaklanabilecek riskleri azaltacaktır.

Güvenlik sıkılaştırma (hardening) işlemleri de sistemin güvenliğini artırmak için kritik öneme sahiptir. Bu süreçte, sistemin gereksinimlerini karşılayan minimum hizmetlerin çalışır durumda olmasını sağlayarak, saldırganların hedef alacağı yüzey alanını küçültmek hedeflenmelidir. Sistemlerin güncellemesi ve yamanması; düzenli olarak zafiyet taramaları yapılması; güçlü parola politikalarının uygulanması; gereksiz hizmetlerin devre dışı bırakılması ve izleme sistemlerinin kurulması bu bağlamda önerilmelidir.

Sonuç olarak, CVE-2022-31199 gibi açıkları kapatmak için proaktif ve reaktif yaklaşım sergilemek zorunludur. Güvenlik önlemleri, sadece yazılım güncellemeleri ile değil, kurumsal güvenlik politikalarının da önemli bir parçası olarak ele alınmalıdır. Bu durum, kısa vadede etkili olabilirken, uzun vadede de güvenliği artırmak için sürdürülebilir çözümler ortaya koyacaktır.