CVE-2023-35078 · Bilgilendirme

Ivanti Endpoint Manager Mobile Authentication Bypass Vulnerability

Ivanti Endpoint Manager Mobile'de kimlik doğrulama atlama açığı, hassas kullanıcı bilgilerine erişim sağlar.

Üretici
Ivanti
Ürün
Endpoint Manager Mobile (EPMM)
Seviye
yüksek
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2023-35078: Ivanti Endpoint Manager Mobile Authentication Bypass Vulnerability

Zorluk Seviyesi: Başlangıç | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2023-35078, Ivanti Endpoint Manager Mobile (EPMM) ürününde tespit edilen bir kimlik doğrulama atlama (authentication bypass) zafiyetidir. Bu zafiyet, daha önce MobileIron Core olarak adlandırılan EPMM'nin bazı API yollarına kimlik doğrulaması olmadan erişim sağlanmasına olanak tanır. Böylece, kötü niyetli bir saldırgan, bu API yollarına erişerek kullanıcıların kişisel tanımlayıcı bilgilerine (PII) ulaşabilir; isimler, telefon numaraları ve diğer mobil cihaz detayları gibi hassas veriler elde edebilir. Bu tür bir bilgiye ulaşmak, kimlik hırsızlığı gibi siber suçlara yol açabilir. Aynı zamanda, saldırgan bu zafiyet üzerinden sistemde başka değişiklikler yapabilir; örneğin, kayıtlı cihazlara yazılım yükleyebilir veya güvenlik profillerini değiştirebilir.

Zafiyetin kökü, sistemin kimlik doğrulama mekanizmasındaki bir hatadan kaynaklanmaktadır. EPMM, güvenlik API’leri için yeterince sağlam bir kimlik doğrulama kontrolü sağlamadığı için, bu API yollarına kimlik doğrulama olmadan erişim mümkün hale gelmiştir. Saldırgan, bu yolları hedef alarak sistemdeki özgün ayarları değiştirebilir. Örneğin, bir saldırgan, yetkisiz olarak bir cihazın profiline erişip, kötü amaçlı yazılımlar yükleyebilir.

Bu zafiyetin etkisi dünya genelinde geniş bir yelpazeyi kapsamaktadır. Sağlık, finans, eğitim gibi birçok sektördeki kuruluşlar, mobil cihaz yönetimi için Ivanti EPMM kullanmaktadır. Dolayısıyla, bu zafiyetten etkilenen kullanıcı sayısı oldukça fazladır. Özellikle sağlık sektöründeki kuruluşlar, hasta bilgilerinin gizliliğine karşı ciddi bir tehdit altındadır. Kişisel sağlık bilgileri (PHI) gibi hassas verilerin sızdırılması, yasal sorunlara ve itibar kaybına yol açabilir. Benzer şekilde, finans sektöründeki kuruluşlar da, müşteri bilgilerinin sızması sonucunda hem maddi kayıplar yaşayabilir hem de müşteri güvenini kaybedebilir.

Gerçek dünya senaryolarında, siber saldırganlar genellikle zafiyetleri keşfetmek için otomatikleştirilmiş tarayıcılar kullanır. Bu tür bir zafiyetin geniş çapta istismar edilmesi, saldırganların yalnızca kişisel verileri toplamakla kalmayıp, aynı zamanda cihazların kontrolünü ele geçirerek daha fazla zarar vermesine olanak tanır. Örneğin, Banka uygulaması yüklü bir cihazda meydana gelen bir saldırı, kullanıcının hesaplarına erişim sağlamanın yanı sıra, saldırganın mobil cihaza yönelik zararlı yazılımlar yüklemesiyle sonuçlanabilir.

Bu tür zafiyetlerle mücadele etmek için, kuruluşların düzenli güvenlik taramaları yapması, yazılımları güncellemeleri ve uygulama güvenliği üzerinde titizlikle durmaları gerekmektedir. Zafiyetler keşfedildiğinde, hızlı bir şekilde patlatılmalı ve etkili bir düzeltme planı devreye alınmalıdır. Ayrıca, kullanıcı eğitimleri, olası saldırılara karşı farkındalığın artırılması açısından oldukça kritik bir adım olarak görünmektedir.

Sonuç olarak, CVE-2023-35078, Ivanti EPMM üzerinde bulunan ciddi bir zafiyet olarak dikkat çekmektedir. Yönetim sistemlerinin güvenliği açısından bu tür zafiyetlerin tespit edilip giderilmesi, tüm sektörde veri güvenliğinin sağlanması adına kritik bir öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

Ivanti Endpoint Manager Mobile (EPMM) için CVE-2023-35078 açık kaynağına dayanan bir teknik eğitim içeriği sunmak, siber güvenlik alanında bilgi ve deneyim sahibi olan 'White Hat Hacker'lar için son derece değerlidir. Bu tür zafiyetler, sistemlerin güvenliğini ve kullanıcı verilerini ciddi şekilde tehdit eden unsurlar arasında yer almaktadır. Bu çalışmada, zafiyetin teknik sömürü aşamalarını detaylı bir şekilde inceleyeceğiz.

Ivanti EPMM'deki bu kimlik doğrulama atlatma (Auth Bypass) zafiyeti, saldırganların belirli API yollarına erişim sağlamasına olanak tanır. Bu API yollarına erişim, saldırganın kullanıcılara ait kişisel olarak tanımlanabilir bilgileri (PII) elde etmesine ve cihazlarında yazılım yükleme veya güvenlik profillerini değiştirme gibi diğer konfigürasyon değişiklikleri yapmasına olanak tanır.

Söz konusu zafiyeti sömürebilmek için izlenebilecek adımlar aşağıda detaylandırılmıştır:

  1. Hedef Sistemin Belirlenmesi: İlk adımdaki gibi, bir hedef sistem bulmalısınız. Bu sistemin Ivanti EPMM'in bir sürümünü çalıştırdığından emin olun. İnternet üzerinde cihaz bilgilerini keşfetmek için çeşitli araçlar kullanabilirsiniz.

  2. API Yollarının Tespiti: Saldırgan, sistemde bulunan açık API yollarını keşfetmek için bazı araçlar kullanabilir. Burp Suite veya Postman gibi araçlarla, sistemin yanıtlarını dikkatlice inceleyerek hangi API yollarının zafiyetten etkilendiğini belirleyebilirsiniz.

  3. Saldırı Olasılığını Test Etme: Belirlenen API yoluna önce bir GET isteği yaparak, sistemin yanıtlarını kontrol edin. Bu aşamada kimlik doğrulama gerekip gerekmediğini belirlemek önemlidir.

GET /api/v1/user/details HTTP/1.1
Host: hedef-sistem.com

Eğer kimlik doğrulama gerekmiyorsa, sistemden gelen yanıt kişisel verileri içerebilir. Bu verinin içeriğini detaylandırarak kullanıcının isim, telefon numarası gibi bilgilerine erişebilirsiniz.

  1. Kişisel Verilerin Elde Edilmesi: Başarılı bir yanıt alırsanız, kullanıcıların bilgilerini almak için gerekli kodu yazabilirsiniz. Aşağıda basit bir Python kodu örneği verilmiştir:
import requests

url = "http://hedef-sistem.com/api/v1/user/details"

response = requests.get(url)

if response.status_code == 200:
    print("Kişisel Veriler:")
    print(response.json())  # Alınan JSON verisini yazdır
else:
    print("Erişim sağlanamadı:", response.status_code)
  1. Cihaz Konfigürasyon Değişiklikleri: Bu aşamada, API yolunu kullanarak cihazlarda konfigürasyon değişiklikleri yapabilirsiniz. Aşağıdaki örnek, bir güvenlik profilini değiştirmek için kullanılabilir:
POST /api/v1/device/configure HTTP/1.1
Host: hedef-sistem.com
Content-Type: application/json

{
    "device_id": "cihaz_id",
    "new_security_profile": "Yeni Güvenlik Profili"
}

Bu isteği göndererek, cihaz üzerindeki güvenlik profilini değiştirme yetkisine sahip olursunuz.

  1. İzleme ve İstihbarat Toplama: Elde edilen bilgilerin nasıl kullanılacağını planlayın. Sadece bilgi toplama ile sınırlı kalmayın; aynı zamanda sistem neden zayıf kalmış olabileceğini analiz edin.

Bu tür zafiyetlerin farkında olmak ve bunları sömürmenin yollarını anlamak, yalnızca 'White Hat Hacker'lar için değil, genel siber güvenlik topluluğu için hayati önem taşımaktadır. Kendi sistemlerinizi korumak ve benzer durumlarda saldırılara veya zafiyetlerin istismarına karşı hazırlıklı olmak için bu bilgileri kullanmalısınız. Unutmayın ki etik bilgilendirme ve eğitimler, siber güvenliğin en önemli taşlarını oluşturur.

Forensics (Adli Bilişim) ve Log Analizi

Siber güvenlik alanında, zafiyetlerin tespiti ve analizi için log analizi (log analysis) büyük önem taşır. Özellikle Ivanti Endpoint Manager Mobile (EPMM) üzerinde tespit edilen CVE-2023-35078 zafiyeti, kimlik doğrulama atlatma (authentication bypass) işlemi ile saldırganlara belirli API yollarına yetkisiz erişim sağlamaktadır. Bu tür bir durum, siber güvenlik uzmanlarının dikkatini çekmeli ve titizlikle incelenmelidir.

Bir siber güvenlik uzmanı, EPMM üzerinde bu tür bir saldırının gerçekleştirildiğini anlamak için log dosyalarını dikkatlice incelemelidir. İlk olarak, Access log (erişim logu) dosyalarında dikkat çeken kalıplara bakılmalıdır. Özellikle, kimlik doğrulama gerektiren API çağrılarında, yetkisiz erişim sağlayan herhangi bir IP adresinin kaydı sorgulanmalıdır. Bu durumda, şüpheli IP adreslerinin sıklığı, isteklerin zamanlaması ve yanıt kodları (örneğin 200 OK veya 403 Forbidden) analiz edilmelidir.

Loglarda ayrıca, hatalı giriş denemelerine veya anormal aktivitelerle ilişkili imzalara (signature) dikkat edilmelidir. Örneğin, belirli bir API’ye yapılan ardışık erişim talepleri, beklenen normal kullanımın üzerinde bir artış gösteriyorsa, bu durum bir saldırının göstergesi olabilir.

Saldırgan, API yollarını kullanarak PII (kişisel tanımlayıcı bilgiler) ve cihaz bilgilerine erişim sağlamışsa, bu tür bilgiler loglarda yer alabilir. Özellikle, aşağıdaki gibi log kalıplarına bakmak önemlidir:

GET /api/v1/users/{id}/profile HTTP/1.1
Host: vulnerable.eppm.com
User-Agent: CustomUserAgent

Burada, yetkisiz bir kullanıcı veya cihazdan bu tür bir isteğin geldiğini gösterecek bir işaret aramak gereklidir. Aynı zamanda, kullanıcının erişim izni olmayan bölgelere giriş yapması ya da yapılandırma değişiklikleri için yapılan istekleri de analiz etmek kritik öneme sahiptir.

Eğer log dosyasında sıklaştırılmış bir "POST" isteği gözlemleniyorsa ve API istekleri içinde yetkisiz parametre geçişlerine rastlanıyorsa, bu durum ciddi bir güvenlik açığına işaret edebilir. Aşağıdaki gibi birkaç örnek log girişi, dikkat edilmesi gereken imzalardır:

POST /api/v1/configure/security_profile HTTP/1.1
Host: vulnerable.eppm.com
Authorization: Bearer [token]

Bu tür istekler, yetki ve kimlik doğrulama gereksinimlerine rağmen, loglarda yer alıyorsa, bu açıkça bir kimlik doğrulama atlatma (auth bypass) problemine işaret eder.

Son olarak, siber güvenlik uzmanı, sistemdeki diğer log dosyalarını da incelemelidir. Hata logları (error logs), beklenmedik hataları ve başarısız girişimleri başka bir gözlem alanı olarak kullanabilir. Hata kodları ve mesajları, sistemdeki mevcut zafiyetlerin ya da açıkların tespitinde önemli ipuçları sunacaktır. Özellikle, bellek taşması (buffer overflow) ya da uzaktan kod çalıştırma (RCE) gibi durumların izleri log dosyalarında yer alıyor olabilir.

Sonuç olarak, bir siber güvenlik uzmanı, log analizi yaparak bu tür zafiyetleri tespit edebilir ve gerekli önlemleri alabilir. Yapılması gereken ilk adım, tüm potansiyel imzaları ve anormallikleri belirleyerek, saldırıların kök nedenlerini ortaya çıkarmaktır. Bu sayede, sadece mevcut tehditler değil, gelecekteki olası saldırılara karşı da etkili önlemler alınabilir.

Savunma ve Sıkılaştırma (Hardening)

Ivanti Endpoint Manager Mobile (EPMM) üzerinde keşfedilen CVE-2023-35078 zafiyeti, sistem güvenliğini ciddi şekilde tehdit eden bir Authentication Bypass (Kimlik Doğrulama Atlama) açığıdır. Bu zafiyet, kötü niyetli kişiler tarafından kullanılabilir ve sistemin API yollarına yetkisiz erişim sağlar. Sonuç olarak, saldırganlar kişisel olarak tanımlanabilir bilgileri (PII) elde edebilir, cihazlar üzerinde yapılandırma değişiklikleri yapabilir ve hatta kötü amaçlı yazılımlar yükleyebilir. Böyle bir senaryo, önemli verilerin açığa çıkmasına ve kurumsal güvenliğin sarsılmasına neden olabilir.

Bu tür zafiyetlerin etkisini azaltmak ve kurumsal güvenliği sağlamak için sıkılaştırma (hardening) teknikleri ve önleyici önlemler almak kritik önem taşır. İlk olarak, zafiyetin bulunduğu sistemin güncellenmesi ve yamanması gerekmektedir. Üretici Ivanti tarafından sağlanan güncellemeler, bu tür zafiyetlerin kapatılmasına yönelik önemli adımlardır. Sistem yöneticileri, yazılım güncellemelerini düzenli olarak kontrol etmeli ve mümkün olan en kısa süre içinde uygulamalıdır.

Zafiyetten korunmanın bir diğer anahtarı, ağ içerisinde güvenlik duvarı kurallarını güçlendirmektir. Web Uygulama Güvenlik Duvarı (WAF) devreye alarak bu tür API ve hizmetlere ulaşımın kontrol altında tutulması sağlanabilir. Aşağıda her bir API çağrısı için uygulanabilecek bazı WAF kuralları örnekleri verilmiştir:

# API yoluna sınırlı erişim
SecRule REQUEST_URI "@streq /api/v1/sensitive_data" "id:100001,deny,log,status:403"

# Kimlik doğrulama sınırlaması
SecRule REQUEST_METHOD "POST" "chain"
SecRule REQUEST_URI "@streq /api/v1/login" "deny,log,status:403"

# CORS (Cross-Origin Resource Sharing) kısıtlamaları
SecRule (REQUEST_HEADERS:Origin) "!@streq https://trusted-site.com" "id:100002,deny,status:403"

Yukarıdaki kurallar, yalnızca tanımlı API yöntemlerine ve belirli URL’lere yetkisiz erişimi sınırlandırmaya yöneliktir. Bu uygulamaları hayata geçirmek, potansiyel saldırganların hedef alabileceği alanları daraltır.

Aynı zamanda, kullanıcıların güçlü kimlik doğrulama yöntemleri kullanması teşvik edilmelidir. Çok faktörlü kimlik doğrulama (MFA), kullanıcıların sistemlere erişimini daha güvenli hale getirmekte önemli bir adım sunar. Özellikle, kritik sistemler ve hassas veri içeren servisler için MFA şartı getirilmelidir.

Yazılım geliştirme süreçlerinde, güvenlik önceliği ile kodun kalitesinin artırılması da kritik bir noktadır. Geliştiricilerin sınıf atlama (class hijacking), buffer overflow (tampon taşması) gibi yaygın güvenlik tehditlerine karşı dirençli kod yazması teşvik edilmelidir. Kod incelemeleri ve dinamik analiz araçları kullanarak, geliştirilen yazılımların güvenlik seviyesinin artırılması sağlanabilir.

Sonuç olarak, CVE-2023-35078 zafiyetine karşı alınacak önlemler, hem mevcut sistemlerin güvenliğini sağlamak hem de gelecekte oluşabilecek benzer tehditlere karşı koruma oluşturmak adına son derece önemlidir. Kurumların bu açığı kapatması ve sürekli olarak güvenliklerini sıkılaştırmaları, siber tehditlere karşı dirençli bir yapı oluşturmalarına katkıda bulunacaktır. Bu tür sistemlerin koruma altında tutulması, sadece kurumun değil, aynı zamanda son kullanıcıların kişisel bilgilerinin güvenliğini sağlamak adına da büyük bir sorumluluktur.