CVE-2023-36851 · Bilgilendirme

Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability

CVE-2023-36851, Juniper Junos OS'deki kritik bir açık ile dosya sistemi bütünlüğü riski taşıyor. Hızla çözülmesi gereken bir zafiyet.

Üretici
Juniper
Ürün
Junos OS
Seviye
yüksek
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2023-36851: Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2023-36851, Juniper Junos OS üzerinde bulunan ciddi bir zafiyettir. Junos OS, Juniper Networks tarafından üretilen bir ağ işletim sistemidir ve özellikle SRX Series güvenlik duvarı cihazlarında kullanılır. Bu zafiyet, kritik işlevler için kimlik doğrulamasının eksikliğini içerir ve bu durum, kötü niyetli bir ağ saldırganının, kimlik doğrulama gereksinimi olmaksızın sistem üzerinde sınırlı bir etki yaratmasına neden olabilir. Özellikle, webauth_operation.php dosyasına yapılan belirli bir istekte, kimlik doğrulama gerektirmeksizin rastgele dosyaların J-Web üzerinden yüklenmesine olanak tanır. Bu da dosya sistemi bütünlüğünde kayba yol açar ve diğer zafiyetlerle birleştirilme potansiyeli taşır.

Zafiyetin kökeni, Junos OS yazılımında kritik bir fonksiyon üzerinde kimlik doğrulaması için şartların yeterince sağlam olmamasıdır. Bu tür bir zafiyetin, diğer sistemlerle etkileşimine neden olabilecek birçok potansiyel saldırı vektörü bulunmaktadır. Örneğin, bir saldırgan bu zafiyeti kullanarak sunucu üzerindeki belirli dosyaları değiştirebilir veya zararlı yazılımları yükleyerek uzaktan kod çalıştırma (RCE - Uzak Kod Çalıştırma) saldırıları gerçekleştirebilir. Bu tür saldırılar, ağın güvenliğini tehlikeye atabilir ve veri kaybına yol açabilir.

Bu zafiyet, özellikle kamu sektöründe, finans sektöründe, eğitim kurumlarında ve sağlık hizmetleri sağlama alanında önemli etkiler yaratmaktadır. Çünkü bu sektörler genellikle kullanıcı verilerinin yüksek güvenlik standartlarında korunmasını gerektirir. Örneğin, bir finans kuruluşu, müşteri bilgilerinin ve finansal kayıtların güvenliğini sağlamak için sıkı önlemler almalıdır. Junos OS kullanan bir güvenlik duvarına sahip bir banka, bu zafiyeti istismar eden bir saldırgan karşısında büyük riskler alabilir. Kötü niyetli bir hacker, sistemde içeriği değiştirme veya veri sızdırma gibi etkili saldırılar gerçekleştirebilir.

Kütüphane düzeyinde bakıldığında, bu tür zafiyetlerin sıklıkla yazılım geliştirme sırasında eksik veri doğrulama veya yetersiz hata denetimleri gibi sorunlardan kaynaklandığı gözlemlenmektedir. Yazılımcılar, bir fonksiyonun doğru çalışmasını sağlamak için gereken bütün geçmiş verileri ve kullanıcı izinlerini kontrol etmediklerinde, sistemde büyük açıklar oluşabilir. Yazılımların güvenliğini artırmak için geliştirilen framework ve kütüphanelere, kimlik doğrulaması ve yetkilendirme gibi katmanlar eklemek, bu tür zafiyetlerin önüne geçilmesi açısından kritik önem taşır.

Sonuç olarak, CVE-2023-36851 zafiyeti, Junos OS kullanan sistemlerde ciddi güvenlik açıklarına yol açabilecek bir durumdur. Ağ güvenliği uzmanlarının, bu tür zafiyetleri sürekli izlemeleri ve sistemlerini güncelleyerek olası saldırılara karşı hazırlıklı olmaları gerekmektedir. Ayrıca, etki alanını genişletmeden bu tür zafiyetlerin kapatılması ve sistemlerin sürekli olarak izlenmesi, siber güvenlik stratejilerinin temel taşlarından birini oluşturur. Bu bağlamda, zafiyetin etkilerini minimize etmek ve olası saldırıları önlemek için sürekli güvenlik güncellemelerinin uygulanması şarttır.

Teknik Sömürü (Exploitation) ve PoC

Juniper Junos OS üzerinde SRX serisi cihazlarda bulunan CVE-2023-36851 açığı, kritik işlevler için kimlik doğrulama eksikliği sunarak kötü niyetli kullanıcıların sistem üzerinde istenmeyen dosyalar yüklemesine ve dolaylı olarak diğer zafiyetleri istismar etmesine olanak tanımaktadır. Bu açıklığa sahip bir sistemde zararlı bir aktör, uygun bir HTTP isteği ile dosya sistemine zarar vermeden, sistem içindeki bazı bölümlerin bütünlüğünü tehlikeye atabilir. Şimdi bu açığın nasıl sömürülebileceğine dair adım adım bir yaklaşım sunalım.

Öncelikle hedef alacağımız SRX serisi cihaza erişim sağlanması gerekmektedir. Bunu yapabilmek için web arayüzüne (J-Web) girmemiz ve webauth_operation.php dosyasına bir istek atmamız yeterlidir. Ancak burada dikkat edilmesi gereken nokta, bu isteğin kimlik doğrulama gerektirmeden yapılabiliyor olmasıdır. Aşağıda belirtilen adımlar, bu süreci açıklamaktadır.

  1. Ağ Ortamına Erişim Sağlama: İlk adım olarak, hedef Juniper cihazına tanımlayıcı bir URL üzerinden erişim sağlamamız gerekmektedir. Bu, genellikle şirket içi bir ağdan gerçekleştirilir.

  2. HTTP İsteği Oluşturma: HTTP istekleri, saldırganın hedef sisteme komut göndermek için kullandığı bir araçtır. Örnek bir istek şöyle olabilir:

   POST /webauth_operation.php HTTP/1.1
   Host: hedef-ip-adresi
   Content-Type: application/x-www-form-urlencoded
   Content-Length: XX (burada XX yüklenen veri boyutunu belirtmelidir)

   action=upload&file=@/path/to/malicious/file

Burada action=upload parametresi, zararlı dosyanın yüklenmesini tetiklemektedir. Dosya yolunu, sistemde var olan bir dosya yapısını hedef alacak şekilde değiştirmek önemlidir.

  1. Dosya Yükleme: Eğer istek doğru bir şekilde gönderilirse, sistem kötü niyetli dosyayı hedef dizine yükleyecektir. Bu aşamada, zafiyet sayesinde yüklenen dosya, sistem üzerinde belirli işlemlerin gerçekleştirilmesine olanak tanıyan bir zararlı yazılım olabilir.

  2. Sistem Üzerinde Denetim Sağlama: Yüklenen dosyanın, sistem üzerinde çalıştırılması, genellikle bir uzaktan kod yürütme (RCE - uzaktan kod yürütme) senaryosuna dönüşebilir. Şayet yüklenen dosya, bir arka kapı (backdoor) içeriyorsa, saldırgan artık hedef sistemin üzerinde tam kontrole sahip olabilir.

  3. Başka Zafiyetleri İstismar Etme: Dosya yükleme başarıyla tamamlandıktan sonra, sistemde başka zafiyetlerin araştırılması gerekmektedir. Örneğin, bir buffer overflow (tampon taşması) zafiyetinin olup olmadığını kontrol edebilir ve bu açığı kullanarak daha fazla kontrol kazanabilirsiniz.

Sonuç olarak, CVE-2023-36851 zafiyeti, ağ üzerinden kimlik doğrulama gerektirmeyen bir yükleme işlemi gerçekleştirerek, hedef sistem üzerinde önemli bir risk oluşturmakta ve veri bütünlüğünü tehdit etmektedir. Potansiyel bir saldırganın, sistemi sömürebilmesi için gerekli olan adımların farkında olması, bir diğer yandan güvenlik uzmanları için de bu açığın kapanması gerektiği anlamına gelir. Güvenlik önlemlerinin sıkı bir şekilde uygulanması ve zafiyetin hızlıca düzeltilmesi gibi adımlar, bu tür tehditlere karşı etkili bir savunma mekanizması oluşturacaktır.

Forensics (Adli Bilişim) ve Log Analizi

Juniper Junos OS üzerinde bulunan CVE-2023-36851 zafiyeti, SRX serisi cihazlarda kritik işlevsellik için eksik bir kimlik doğrulama (authentication) açığı olup, hiç kimlik doğrulaması gerektirmeyen bir yöntemle kötü niyetli bir kullanıcının sistem dosyası bütünlüğünü riske atmasına olanak tanımaktadır. Bu zafiyet, saldırganların webauth_operation.php dosyasına spesifik bir istek göndererek J-Web arayüzü üzerinden rastgele dosyalar yüklemelerine ve böylece sistemin belirli bir bölümünde entegrite kaybına yol açmalarına neden olabilir. Bu durum, potansiyel olarak diğer zafiyetlere de kapı açabilmektedir.

Siber güvenlik uzmanları, bu tür saldırıların gerçekleştirilip gerçekleştirilmediğini anlamak için log analizi yapmalıdır. SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) sistemleri, bu tür faaliyetleri izlemek için kritik bir rol oynamaktadır. Log dosyalarındaki belirli imzalara (signature) bakarak, uzmanlar bu tür saldırıları tespit edebilir.

Öncelikle, Access log (Erişim logu) dosyalarını incelemek önemlidir. Burada, özellikle aşağıdaki gibi sorgulama kalıpları aramak gerekmektedir:

  1. webauth_operation.php URL’sine yapılan istekler:
GET /webauth_operation.php HTTP/1.1
  1. HTTP isteği sırasında 401 - Unauthorized veya 403 - Forbidden dönen kayıtları incelemek.
  2. Tipik bir HTTP isteği yerine, olağan dışı içerik türleri veya dosya uzantılarının transfer edilip edilmediğine dikkat etmek.

Ayrıca, Error log (Hata logu) dosyalarında da dikkate değer veriler bulunabilir. Bu loglar, sistemin belirli bir dosya yükleme işlemine neden olup olmadığını analiz etmek için incelenebilir. Örneğin, yüklenen dosyaların hatalı veya değişik uzantılar içermesi, potansiyel bir saldırının habercisi olabilir.

Log analizi sırasında, aşağıdaki gibi dosya yükleme etkinliklerine ve anormal IP adresi taleplerine dikkat edilmelidir:

POST /webauth_operation.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded

Ayrıca, tüm dış IP adreslerinden gelen sıradışı talepler veya çok sayıda sıradışı isteğin tek bir IP adresinden gelmesi, potansiyel bir saldırı işareti olarak işaretlenmelidir. Doğru incelemeler, güvenlik ekiplerini olası bir dosya yükleme saldırısını zamanında tespit edip önlem almaya yönlendirebilir.

Sonuç olarak, Juniper Junos OS üzerinde CVE-2023-36851 zafiyetine karşı tetikte olmak, siber güvenlik profesyonellerinin her zaman dikkat etmesi gereken bir noktadır. Log analizi ve SIEM sistemleri aracılığıyla, bu tip eksik kimlik doğrulama (auth bypass) zafiyetlerini tespit ederek, olası siber saldırılara karşı proaktif bir yaklaşım sergilemek mümkündür. Saldırıların önlenebilmesi için, aygıtların güncellenmesi ve gerekli önlemlerin alınması kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

Juniper Junos OS üzerindeki CVE-2023-36851 zafiyeti, bir kaçak (authentication bypass) türü olarak değerlendirilebilir. Bu zafiyet, kötü niyetli bir saldırganın, yetkilendirme gerektirmeden kritik işlevlere erişim sağlaması için bir yol sunmaktadır. Özellikle, "webauth_operation.php" dosyasına gönderilen özel istekler, saldırgana J-Web arayüzü üzerinden rastgele dosyalar yükleme olanağı tanımaktadır. Bu durum, dosya sistemi bütünlüğünde bir kayba yol açabilir ve diğer zafiyetleri istismar etmek için bir fırsat sağlar.

Bu tür bir zafiyetin istismarını önlemek için birkaç önemli savunma önlemi almak gereklidir. İlk olarak, ağa ve sistemlere erişim kontrollerinin iyileştirilmesi elzemdir. Firewalls (güvenlik duvarları) ve WAF (Web Application Firewall - Web Uygulama Güvenlik Duvarı) gibi araçların kullanımı, saldırı yüzeyini azaltmak için kritik bir adımdır. WAF kullanarak, belirli isteklere karşı kural tabanlı filtrasyon uygulanabilir. Örneğin, şu şekilde bir WAF kuralı uygulanabilir:

SecRule REQUEST_URI "@streq /webauth_operation.php" "id:1001,phase:2,t:none,t:urlDecodeUni,t:htmlEntityDecode,deny,status:403"

Bu kural sayesinde, belirtilen URI'ye yapılacak istekler bloke edilerek olası istismarlar engellenebilir. Ayrıca, yüklenebilecek dosya türlerinin kısıtlanması, örneğin sadece belirli uzantılara sahip dosyaların yüklenmesine izin verilmesi, önemli bir önlem olacaktır.

Diğer bir strateji, sistem üzerindeki tüm erişimlerin kimlik doğrulama gerektirmesi gerektiğidir. Bu, zafiyetin etkisini azaltacak ve saldırgana gerekli erişim izinlerini engelleyecektir. Sunucular üzerinde gerekli güncellemelerin düzenli olarak yapılması ve özellikle kritik güncellemelerin aksatılmadan uygulandığından emin olunması da önemlidir.

Ayrıca, dosya sistemini sıkılaştırmak için, sadece gerekli olan kullanıcıların belirli dizinlere erişmesine izin verilmeli ve bu kullanıcıların yetkileri minimumda tutulmalıdır. Örneğin:

chmod 750 /path/to/sensitive-directory

Bunun yanı sıra, sistem registrasyonlarını düzenli olarak kontrol etmek ve olağandışı aktiviteleri izlemek için bir izleme aracı kullanmak, güvenlik ihlallerinin erken aşamada tespit edilmesine olanak tanır. Bu tür bir izleme, olası yetkisiz dosya yükleme girişimlerini tespit etmek için önemlidir.

Son olarak, saldırganların sistemde daha fazla zafiyet aramasını önlemek amacıyla penetrasyon testleri (penetration testing) ve sızma testleri düzenlemek önerilir. Bu testler, güvenlik açıklarını önceden belirlemek ve kapatmak için proaktif bir yöntem sağlar.

CVE-2023-36851 zafiyetini hedef alan koruma önlemleri alırken, genel güvenlik duruşunuzu sürekli olarak gözden geçirmek ve güncel tehditleri takip etmek, sistemlerinizi daha dayanıklı hale getirecektir.