CVE-2023-36845 · Bilgilendirme

Juniper Junos OS EX Series and SRX Series PHP External Variable Modification Vulnerability

Juniper Junos OS üzerindeki PHP zafiyeti, saldırganların ciddi güvenlik riskleri oluşturmasına olanak tanıyor.

Üretici
Juniper
Ürün
Junos OS
Seviye
yüksek
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2023-36845: Juniper Junos OS EX Series and SRX Series PHP External Variable Modification Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Juniper Junos OS, özellikle EX Series ve SRX Series cihazlarında kullanılan bir işletim sistemidir. Bu sistem, ağ yönetimi ve güvenlik işlevleri gibi kritik görevlerde kullanılmakta olup, buna bağlı olarak güvenlik zafiyetleri de büyük önem arz etmektedir. CVE-2023-36845 olarak tanımlanan bu PHP external variable modification (PHP dış değişken modifikasyonu) zafiyeti, saldırganlara önemli bir ortam değişkenini kontrol etme imkanı sunmaktadır.

Bu zafiyet, bir yetkisiz, ağ tabanlı saldırgan tarafından istismar edilebilir. Saldırgan, özel olarak hazırlanmış bir istek kullanarak PHPRC değişkenini ayarlayarak, PHP yürütme ortamını değiştirme ve bu sayede kod enjeksiyonu yapma imkanı elde eder. Bu tür bir saldırı, uzaktan kod yürütme (Remote Code Execution - RCE) yoluyla girişimciye büyük bir avantaj sağlar.

Bu zafiyetin kökeni, Juniper Junos OS içinde yer alan PHP işleme sürecinde bulunmaktadir. Söz konusu zafiyet, bir güvenlik mekanizmasının ihlal edilmesi, yani PHP dış değişkenlerinin doğru bir şekilde kontrol edilmemesi sonucu oluşmaktadır. Özellikle, PHPRC değişkeninin kontrolsüz bir biçimde değiştirilmesi, saldırganların kötü amaçlı kod çalıştırmasına olanak tanır. Bu durum, sunucu tarafında gerçekleşen bir kod yürütme işlemi olduğu için, saldırının kapsamı da oldukça geniştir.

Dünya genelindeki etkilerine bakarsak, bu zafiyet, özellikle finans, sağlık ve eğitim gibi kritik sektörlerde bulunan çok sayıda kuruluşu hedef alabilir. Bankacılık sistemlerinde, müşteri verilerinin güvenliği için sağlanan PHP tabanlı web uygulamaları, saldırganların yerel sistemde yetki kazanmasına ve daha sonra kamuya açık olmayan bilgilere ulaşmalarına olanak tanımaktadır.

Gerçek dünya senaryolarında, bir saldırgan, bir kurumun web sunucusuna erişim sağladığında, öncelikle zafiyetin varlığını tespit etmeye çalışacak ve ardından özel olarak hazırlanmış bir istek göndererek yukarıda bahsedilen PHPRC değişkenini manipüle edecektir. Bu manipülasyon sonrasında, sunucu üzerinde istenmeyen komutların çalıştırılması mümkün hale gelecektir. Bu tür bir saldırının sonuçları, sadece kurumsal verilerin çalınmasıyla sınırlı kalmayıp, aynı zamanda itibar kaybı ve finansal zararlara da yol açabilir.

Sonuç olarak, CVE-2023-36845 zafiyeti, Juniper Junos OS kullanan EX Series ve SRX Series cihazlarında önemli bir güvenlik riski oluşturmaktadır. By-pass (atlama) yöntemleriyle güvenlik savunmalarını aşarak hassas bilgilere ulaşılabilmesi ve kötü niyetli kodların çalıştırılabilmesi, bu zafiyetin yalnızca teknik boyutunun ötesine geçmiş, aynı zamanda sektörel anlamda da ciddi düzeyde riskler oluşturduğunun bir göstergesidir. White Hat hacker (beyaz şapkalı hacker) olarak, bu tür zafiyetlerin tespit edilmesi ve kapatılması, hem bireysel hem de kurumsal güvenliği sağlamak açısından kritik öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

Juniper Junos OS üzerinde EX Series ve SRX Series cihazlarına yönelik CVE-2023-36845 zafiyeti, kötü niyetli bir saldırganın, ağ üzerinden doğrulanmamış olarak, kritik bir ortam değişkenini kontrol etmesine olanak tanır. Bu tür bir zafiyet, uzaktan kod çalıştırma (RCE - Remote Code Execution) gibi ciddi sonuçlara yol açabilir. Aşağıda, bu zafiyetin teknik sömürü aşamaları ve örnek kodlar yer almaktadır.

Sömürü süreci, temel olarak şu adımlardan oluşmaktadır:

  1. Hedef Belirleme: İlk adım olarak, Juniper Junos OS kullanan EX Series veya SRX Series cihazları hedeflemek gerekmektedir. Aygıtların HTTP servisi açık olmalı ve düzgün yapılandırılmadığı varsayılmalıdır.

  2. HTTP İsteği Gönderme: Zafiyetten yararlanabilmek için özel bir HTTP isteği hazırlanması gerekmektedir. Saldırgan, PHPRC ortam değişkenini ayarlamak için bir HTTP isteği gönderir. Bu istekte, hedef PHP uygulamasının belirli bir işlevini kullanarak zararlı kodu çalıştırmayı hedefleriz.

    Örnek bir HTTP isteği aşağıdaki gibi görünebilir:

   POST /path/to/vulnerable/script.php HTTP/1.1
   Host: target-ip
   Content-Type: application/x-www-form-urlencoded

   PHPRC=/path/to/malicious/config&other_param=value

Burada PHPRC değişkeni, zararlı bir yapılandırmaya işaret eder ve bu, PHP uygulamasının davranışını değiştirebilir. Uygulama bu isteği işlediğinde, zararlı kod çalıştırılabilecektir.

  1. Zararlı Kod Enjeksiyonu: HTTP isteğinin başarılı bir şekilde gerçekleştirilmesi durumunda, saldırganın PHP uygulamasında belirlediği ortam değişkenleri üzerinden çalıştırmak istediği zararlı kod injekte edilebilir. Bu, belirli bir PHP betiği aracılığıyla gerçekleştirilebilir.

    Örnek bir PHP kodu, zararlı komutların nasıl çalıştırılabileceğine dair basit bir yapıyı içerebilir:

   <?php
   // Kötü niyetli bir script
   system($_GET['cmd']); // $_GET['cmd'] parametresini kullanarak komut çalıştır
   ?>

Saldırgan, yukarıdaki kodun çalışacağı bir konfigürasyon belirleyerek, sistemdeki komutları çalıştırabilir.

  1. Aksiyon Alma: Saldırı başarılı olursa, artık kontrol tamamen saldırgandayken, istenilen herhangi bir komut veya zararlı yazılım çalıştırılabilir. Saldırgan, sistem bilgilerini çalabilir, diğer sunuculara erişim sağlayabilir veya sistemde kalıcı bir arka kapı oluşturabilir.

Gerçek dünya senaryolarında, bu tür bir zafiyet, özellikle yönetim arayüzlerine kolay erişim sağlayarak, kurumsal iç ağlara sızmak için kullanılabilir. Ayrıca, saldırgan bulduğu zafiyeti bir "tire" (backdoor) olarak kullanarak, sistem üzerinde kalıcı kontrol establisyebilir.

Sonuç olarak, Juniper Junos OS üzerindeki CVE-2023-36845 zafiyeti, kötü niyetli saldırganların kritik verilere ulaşımı için ciddi bir risk taşımaktadır. Bu tür zafiyetleri önlemek ve kurumsal güvenliği sağlamak için düzenli güncellemeler yapılmalı ve güvenlik testlerine maruz bırakılmalıdır. Eğitimli güvenlik uzmanlarının bu tarz tehditleri önceden belirleyerek, güvenlik açıklarını kapatması büyük önem arz etmektedir.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2023-36845, Juniper Junos OS üzerinde bulunan ve EX Series ile SRX Series cihazlarını etkileyen bir PHP dış değişken modifikasyon zafiyetidir. Bu zafiyet, kimlik doğrulaması gerektirmeyen bir ağ tabanlı saldırganın önemli bir çevre değişkenini kontrol etmesine olanak tanır. Saldırgan, PHPRC değişkenini ayarlayan özel bir istek göndererek PHP çalışma ortamını değiştirebilir ve böylece kötü niyetli kod enjeksiyonu gerçekleştirebilir. Bu tür bir zafiyet, uzaktan kod yürütme (RCE) gibi tehlikeli sonuçlar doğurabilir.

Siber güvenlik uzmanları, bu tür bir saldırının gerçekleşip gerçekleşmediğini SIEM (Güvenlik Bilgi ve Olay Yönetimi) araçları ve log dosyaları aracılığıyla tespit edebilir. İlk olarak, sistemdeki erişim loglarının (Access log) dikkatlice incelenmesi önemlidir. Bu loglarda, anormal veya beklenmedik PHP istekleri, özellikle PHPRC değişkenini ayarlamaya yönelik girişimler dikkat çekici olabilir. Örneğin, bir HTTP isteğinde şu şekilde bir kullanım görülebilir:

GET /path/to/script.php?PHPRC=malicious_value HTTP/1.1
Host: vulnerable-device

Bu tür bir istek, önceden tanımlanmış bir uygulama davranışının dışına çıkıyorsa, potansiyel bir saldırı göstergesi olarak değerlendirilmelidir. Bunun yanında, error loglarda (hata logları) PHP’nin hata mesajları ve uygulama hatalarına da dikkat edilmelidir. Eğer bir kullanıcının belirli bir değişken üzerinde yetki sahibi olmadığı bir durumda hata mesajları alınıyorsa, bu, zafiyetin kullanılmasına yönelik bir girişim olduğunu gösterebilir.

Bir diğer kritik gözlem noktası ise ağ trafiğidir. Özellikle kötü niyetli bir istek yapıldığında, bu isteğin kaynağı, sıklığı ve içeriği üzerine analiz yapılmalıdır. Özellikle belirli bir IP adresinden gelen sürekli tekrar eden isteklere dikkat edilmeli ve bu IP adreslerinin engellenip engellenmeyeceğine karar verilmelidir.

Log analizine yönelik başka bir imza ise, sistemin kullanıcıların ne tür değişkenlerle işlem yaptığını gözlemlemektir. Eğer bir kullanıcı, sistemin standart bir işleyişinde bulunmayan değişkenlerle PHP uygulamalarını tetikliyorsa, bu durum potansiyel bir tehlike işareti olarak değerlendirilebilir. Örneğin, olağan dışı değişken isimleri veya değerleri içeren istekler, potansiyel kötü niyetli girişimlerin belirlenmesine yardımcı olabilir.

SIEM sistemlerinin kullanılması, bu tür güvenlik açıklarını zamanında tespit etme ve gereken önlemleri alma konusunda önemli bir avantaj sağlamaktadır. Özellikle, zafiyetin bilgilendirici dökümanlarında önerilen güncellemelerin ve yamaların uygulanması da, cihazların güvenliği için kritik öneme sahiptir. Böylece, ilgili ağ üzerindeki zararlı aktivitelerin önüne geçilmiş olur.

Bütün bu gözlemler ve analizler, siber güvenlik uzmanlarının CVE-2023-36845 gibi zafiyetleri daha iyi anlamalarını ve olası saldırılara karşı daha proaktif bir yaklaşım sergilemelerini sağlar. Logların detaylı analizi ve sürekli güvenlik izleme işlemleri, bir siber güvenlik ortamında yaşamsal öneme sahiptir. Unutulmamalıdır ki, güvenlik sadece bir olay sonrası değil, proaktif bir yaklaşım ile sürdürülebilir.

Savunma ve Sıkılaştırma (Hardening)

Günümüzde ağ güvenliği, siber saldırılara karşı dayanıklılığı artırmak amacıyla sürekli olarak geliştirilmektedir. Juniper Junos OS üzerinde keşfedilen CVE-2023-36845 açığı, özellikle EX Series ve SRX Series cihazlarının güvenliğini tehdit eden önemli bir zafiyettir. Bu tür bir zafiyet, dışarıdan bir saldırganın (unauthenticated network-based attacker), PHP ortam değişkenlerini manipüle etmesine olanak tanır. Özellikle, PHPRC değişkeninin değiştirilmesi, saldırganlara uzaktan kod yürütme (RCE) yetkisi veren bir kapı açar.

Bir "White Hat Hacker" olarak, bu tür zafiyetlerin nasıl korunabileceğine dair süratle analiz yapmalıyız. Öncelikle, bu zafiyetin etkilerini azaltmak için mevcut sistemin yapısını göz önünde bulundurmalıyız. PHP uygulamalarında, kullanıcı girişlerinin dikkatlice filtrelenmesi önemlidir. Özellikle, belirli değişkenlerin (environment variables) nizami bir şekilde kontrol edilmesi gerekir. Örneğin, aşağıdaki gibi bir kontrol sağlamak faydalı olacaktır:

if (!empty($_REQUEST['PHPRC'])) {
    exit('Unauthorized access detected!');
}

Elde edilen bu bilgileri kullanarak, saldırıları önlemek adına firewall (WAF) kuralları yazmamız mümkündür. Örneğin, aşağıdaki WAF kuralı, PHPRC değişkeninin değiştirilmesini engelleyecek şekilde yapılandırılabilir:

SecRule ARGS:PHPRC "@streq" "id:1001,phase:2,deny,status:403,msg:'Unauthorized PHPRC modification attempt'"

Ayrıca, sistemlerinizi kalıcı olarak sıkılaştırma (hardening) amacıyla, önerilebilecek diğer önlemler arasında aşağıdakiler vardır:

  1. Güncellemeleri Yapın: Her zaman en son güvenlik yamalarını uygulayın. Juniper, kullanıcıları sürekli güncel sürümlerini kullanmaya teşvik etmektedir. Açıkların kapatıldığı sürümlere geçiş yaparak güvenlik açığı riskini minimize edersiniz.

  2. Güvenlik Duvarı ve Sayfa Koruma: Yukarıda belirtildiği gibi, WAF kullanmak büyük bir önlem olabilir. Uygulama katmanı güvenliği sağlamak, basit IP filtreleme ile sınırlı kalmamak gerektiğini unutmamak önemlidir. Ayrıca, sadece belirli kaynaklardan gelen bağlantılara izin vermek de bir başka stratejidir.

  3. Kötü Amaçlı Yazılımları Tespit Etme: Sunucuların kötü amaçlı yazılımlara karşı düzenli olarak taranması, sistemin genel güvenliğini artırır. Bunun için çeşitli araçlar kullanılabilir.

  4. PHP Konfigürasyonunu Gözden Geçirin: PHP'nin yapılandırmasında gerekirse 'disable_functions' direktifini kullanarak belirli fonksiyonların kullanımını yasaklayabilirsiniz. Bu sayede potansiyel bir RCE vektörünü ortadan kaldırmış olursunuz. 

disable_functions = "exec,passthru,shell_exec,system"

Sonuç olarak, CVE-2023-36845 gibi zafiyetlerin kapatılması, siber güvenlikte en fazla dikkate alınması gereken konulardan biridir. Sistemlerinizi sürekli gözden geçirerek, güncelleyerek ve koruma mekanizmaları geliştirerek, siber saldırılara karşı daha dayanıklı hale gelebilirsiniz. Unutmayın ki, proaktif bir yaklaşım benimseyerek riskleri en aza indirmek, günümüz siber tehdit ortamında hayati bir önem taşımaktadır.