CVE-2023-48365 · Bilgilendirme

Qlik Sense HTTP Tunneling Vulnerability

Qlik Sense'de bulunan CVE-2023-48365 zafiyeti, yetki yükseltme ve sunucuya saldırı imkanı sunuyor.

Üretici
Qlik
Ürün
Sense
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
9 dk okuma

CVE-2023-48365: Qlik Sense HTTP Tunneling Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Qlik Sense, analitik çözümleri ile iş dünyasında önemli bir yere sahip bir platformdur. Ancak, CVE-2023-48365 olarak tanımlanan ve HTTP tunneling (HTTP tünelleme) zafiyeti, bu yazılımın güvenlik açıkları arasında yer almaktadır. 2023 yılında ortaya çıkan bu zafiyet, kullanıcıların yetkilendirme süreçlerini atlamak ve arka uç sunucularında istenmeyen HTTP istekleri göndermek için kullanılabilir. Bu durum, saldırganların sistem üzerinde yetki yükseltme (privilege escalation) yapmasına ve ciddi güvenlik ihlallerine yol açabilir.

Zafiyetin kökeni HTTP tünelleme mekanizmasına dayanmaktadır. Qlik Sense, kullanıcıların verilerine ve uygulamalarına güvenli bir şekilde erişebilmeleri için HTTP tünelleme yöntemini kullanmaktadır. Ancak, bu yöntemdeki bir hata, saldırganların yetkilerini aşarak arka uç sunucularına komutlar göndermelerine olanak tanımaktadır. Bu, saldırganların uzaktan kod yürütme (RCE - Remote Code Execution) yeteneği kazanmasına neden olabilir. Bu tür bir güvenlik açığı, saldırganların kötü niyetli kodlar çalıştırarak veritabanlarına veya kullanıcı bilgilerinin de bulunduğu önemli verilere erişimini sağlayabilir.

Gerçek dünya senaryolarına bakacak olursak, çeşitli sektörlerde çalışan şirketlerin bu tür açıkları nasıl deneyimleyebileceği üzerine birkaç örnek verebiliriz. Özellikle finansal hizmetler, sağlık ve eğitim sektörü gibi hassas verilerle çalışılan alanlar, bu tür saldırılara karşı en savunmasız olanlardır. Örneğin, bir finansal kurum, saldırganların yetkilerini yükselterek üzerinde çalışan sistemleri etkisi altına alması durumunda, büyük maddi kayıplar yaşayabilir. Kullanıcı bilgilerinin çalınması veya yanıltıcı işlemlerin gerçekleştirilmesi gibi sonuçlar, müşteri güvenini sarsabilir ve itibar kaybına yol açabilir.

CVE-2023-48365, dünya çapında birçok sektörde etkili olabilecek potansiyeli ile dikkat çekiyor. Sadece finansal hizmetler değil, aynı zamanda sağlık sektöründeki elektronik sağlık kayıtları (EHR) sistemleri de bu zafiyetin hedefi olabilir. Sağlık bilgilerinin güvenliği, hastaların mahremiyeti açısından kritik öneme sahip olduğu için, bu tür bir zafiyetin etkisi oldukça yıkıcı olabilir. Eğitim sektöründe ise, öğrenci verileri ve diğer hassas bilgilerin ele geçirilmesi, hem kurumun hem de bireylerin güvenliğini tehdit eden bir durum olarak ortaya çıkmaktadır.

Zafiyetin etkili olması için, kötü niyetli bir kullanıcının sistemde oturum açması gerekebilir. Ancak, bir defa sisteme sızmayı başaran bir saldırgan, arka uç sunucularıyla doğrudan etkileşim içine girebilir ve güvenlik protokollerini aşarak istenmeyen işlemler yapabilir. Bu durumlar, güçlü şifreleme yöntemleri veya oturum yönetim sistemleri gibi savunma mekanizmaları kullanılarak engellenebilir.

Sonuç olarak, CVE-2023-48365, Qlik Sense'in HTTP tünelleme işlevinde barındırdığı büyük bir güvenlik açığıdır ve özellikle hassas verilerle çalışan sektörlerde ciddi sonuçlar doğurabilir. Şirketlerin bu tür zafiyetlere karşı proaktif önlemler alması, güvenlik mülklerinin etkili bir şekilde korunması için oldukça önemlidir. Zafiyeti istemeden de olsa kapsamına alan sistem yöneticilerinin, güncellemeleri ve yamaları zamanında uygulamaları büyük bir gereklilik arz etmektedir.

Teknik Sömürü (Exploitation) ve PoC

Qlik Sense, gelişmiş veri analizi ve görselleştirme için geniş bir kullanıcı kitlesi tarafından kullanılan bir platformdur. Ancak, 2023 yılında keşfedilen CVE-2023-48365 numaralı zafiyet, siber saldırganların platformu hedef alarak çeşitli kötü niyetli eylemler gerçekleştirmesine olanak tanımaktadır. Bu zafiyet, HTTP tunneling (HTTP tünelleme) kullanarak yetki yükseltme (privilege escalation) ve sunucuda HTTP istekleri gerçekleştirme yeteneği sağlar. Bu durum, saldırganların sistemi ele geçirmesi veya hassas verilere erişmesi için bir kapı aralayabilir.

Sözü edilen zafiyetten faydalanmak için öncelikle, hedef sistemin yapılandırmasına yönelik belirli bilgilere sahip olmak gerekir. Saldırgan, Qlik Sense’in sunucusuna HTTP istekleri göndererek sistemin mevcut durumunu belirlemek için tarayıcı veya komut satırı araçları aracılığıyla bilgi toplamalıdır. Vulnerability scanning (zafiyet tarama) araçları bu aşamada oldukça faydalıdır.

Sistemin yapılandırmasını inceledikten sonra, zafiyetin sömürülmesine yönelik adımlar şu şekilde ilerleyebilir:

  1. HTTP Tünelleme Yapılandırması: İlk olarak, Qlik Sense uygulaması üzerinde HTTP tünelleme özelliğinin aktif olup olmadığı kontrol edilir. HTTP tünelleme özelliği eğer aktifse, 80 veya 443 portları üzerinden doğrudan bağlantı kurularak zararlı istekler gönderilebilir.

  2. PoC (Proof of Concept) Geliştirme: HTTP tünelleme özelliği kullanarak sisteme zararlı istek gönderme sürecini test etmek için bir Python exploit taslağı geliştirilir. Örneğin:

   import requests

   target_url = "http://hedef-sunucu:port/qrs/User"
   headers = {
       "Authorization": "Bearer <token>",
       "Content-Type": "application/json"
   }

   # Zararlı isteği gönderelim
   try:
       response = requests.get(target_url, headers=headers)

       if response.status_code == 200:
           print("Başarılı istek gönderildi.")
           print(response.json())
       else:
           print("Hata oluştu:", response.status_code)
   except Exception as e:
       print("İstek gönderirken hata:", e)

  1. HTTP İsteklerini İletme: Sunucuya iletilecek HTTP istekleri, belirli endpointler üzerinde test edilmelidir. Örneğin, sistemdeki kullanıcı bilgilerini almak için yukarıda belirtilen gibi bir istek gönderilebilir. Başarılı bir yanıt alındığında, sistem üzerindeki bazı verilere hakim olunabilir.

  2. Yetki Yükseltme Denemeleri: Elde edilen bilgiler ile birlikte, sunduğu yetkiler aracılığıyla sistemde daha yüksek yetkiye sahip bir kullanıcı hesabı tespit edilebilir. Bu aşamada, kullanıcı kayıtlarının tespit edilmesi ve erişim yetkilerinin incelenmesi gerekir.

  3. Gizlilik ve Bilgi Sızdırma: Saldırgan, sistemi daha fazla ele geçirerek hassas bilgilere ulaşmak için daha karmaşık HTTP istekleriyle bilgi sızdırma (data exfiltration) işlemi gerçekleştirebilir. Örneğin, kullanıcı parola hash'lerini çekmek veya sistem konfigürasyon dosyalarını almak için uygun istekler oluşturulabilir.

Bu aşamalar, siber suçlarla mücadelede oldukça tehlikeli bir yol olduğu için etik hackerlar tarafından yalnızca bilgi güvenliği testleri ve sistemin zayıf noktalarını tespit etmek amacıyla gerçekleştirilmelidir. Onay almadan herhangi bir sistemde bu tür testler yapmak hukuki sorunlar doğurabilir. Dolayısıyla, etik hacking (etik hackerlık) uygulamaları, bilgi güvenliği ve siber tehditlerle mücadelede büyük bir öneme sahiptir ve aynı zamanda zararlı kullanımın önlenmesine yardımcı olur.

Forensics (Adli Bilişim) ve Log Analizi

Qlik Sense, kullanıcıların verilerini analiz etmelerine olanak tanıyan güçlü bir araçtır. Ancak, bu yazılımda bulunan CVE-2023-48365 olarak bilinen HTTP tunneling (HTTP tünelleme) zafiyeti, kötü niyetli aktörlerin yetki yükseltmesi (privilege escalation) gerçekleştirmesine ve arka uç sunucusunda (backend server) HTTP istekleri yapmasına olanak tanıyabilir. Bu tür bir zafiyet, siber güvenlik uzmanlarının dikkatlerini artırmasını ve olayların log analizi (log analysis) yoluyla tespit edilmesini gerektirir.

Bir siber güvenlik uzmanı olarak, bu tür bir saldırının gerçekleşip gerçekleşmediğini belirlemek için birkaç kritik adım uygulamak önemlidir. Öncelikle, bir havuzda (SIEM - Security Information and Event Management) topladığınız log dosyalarını incelemek için doğru araçlara ve metodolojiye sahip olmalısınız. Qlik Sense'e yönelik saldırılarda, özellikle Access log (erişim kaydı) ve Error log (hata kaydı) dosyaları en önemli kaynaklardır.

Bu log dosyalarında aranacak bazı önemli imzalar şunlardır:

  1. Alışılmadık HTTP Yöntemleri: Saldırganlar, standart HTTP GET veya POST yöntemlerinin dışında yöntemler (örneğin, CONNECT) kullanarak tünelleme gerçekleştirebilirler. Log dosyasında bu tür alışılmadık veya beklenmeyen HTTP yöntemlerinin kullanımı sizi uyarmalıdır.
   127.0.0.1 - - [date] "CONNECT /example HTTP/1.1" 200 -
  1. Yetkili Olmayan Erişim Denemeleri: Log dosyalarında, belirli bir URL'ye veya API'ye yetkili bir kullanıcı tarafından yapılmayan istekleri gözlemlemek önemlidir. Özellikle, kullanıcıların erişim izinleri dışında yaptıkları sorgular dikkat çekmelidir.
   192.168.1.10 - - [date] "GET /backend/api/users" 403 -
  1. Uzun Süreli Bağlantılar: HTTP tünelleme saldırıları genellikle süreklilik arz eden arka plan istekleri oluşturarak yürütülür. Dolayısıyla, belirli bir IP adresinden gelen ardışık ve hızlı HTTP isteklerini kontrol etmekte fayda vardır. Bu, DDoS (Distributed Denial of Service) gibi diğer saldırıları da işaret edebilir.
   10.0.0.1 - - [date] "GET /api/data" 200 - (10 requests within a second)

  1. Anomaliler ve Hatalar: Hata loglarında, sistemin beklenmedik hatalar verdiği durumlar tespit edilmelidir. Örneğin, bir kullanıcı "unauthorized" (yetkisiz) hata ile sonuçlanan bir doğrulama sürecini geçmeyi deniyorsa bu, bir saldırı girişimi olabilir.

  2. İçerik Değişiklikleri: Belirli bir süre aralığında dosyaların veya API'lerin içeriğinde belirgin değişiklikler varsa, bu durum bir HTTP tünelleme saldırısının belirtisi olabilir. Ayrıca, beklenmeyen dosya yüklemeleri ve değişiklikleri için log kayıtlarının düzenli olarak izlenmesi önemlidir.

Bu bilgileri değerlendirerek, siber güvenlik uzmanı, sistemde meydana gelen potansiyel saldırıların tespitini ve buna karşı önlem almasını sağlayabilir. Her ne kadar siber güvenliğin dinamik ve sürekli güncellenen bir alan olduğunu unutmamak gerekse de, log analizi ve forensics (adli bilişim) yöntemleri, bu tür tehditlerin etkisini azaltmak ve sistem güvenliğini sağlamak için kritik öneme sahiptir. Saldırıların tespit edilmesi sonrasında, gerekli yamanın yapılması ve sistemin güncellenmesi, benzer zafiyetlerin tekrar oluşmasını engelleyecektir.

Sonuç olarak, CVE-2023-48365 gibi zafiyetler için log analizi yaparken dikkat edilmesi gereken unsurlar, sadece güncel teknik bilgilerin değil, aynı zamanda iyi bir gözlem ve analiz yeteneğinin de gerekliliğini ortaya koymaktadır. Bu sayede, sistem güvenliği sağlanabilir ve olası atakların önüne geçilebilir.

Savunma ve Sıkılaştırma (Hardening)

Qlik Sense, veri analitiği ve raporlama hizmetleri sunan bir platform olmasının yanında, içerdiği zafiyetler nedeniyle siber saldırılara karşı savunmasız kalabilmektedir. Özellikle CVE-2023-48365 numaralı HTTP tunneling (HTTP tünelleme) zafiyeti, saldırganların yazılımın arka plan sunucusuna yetki yükseltmesi (privilege escalation) yapmasına ve kötü niyetli HTTP istekleri göndermesine olanak tanımaktadır. Bu tür zafiyetlerin kapatılması, potansiyel veri sızıntılarını ve sistemlerin kötüye kullanımını önlemek açısından kritik öneme sahiptir.

İlk olarak, zafiyetin etkilerini önlemek için uygun bir WAF (Web Application Firewall - Web Uygulama Güvenlik Duvarı) konfigürasyonu yapılmalıdır. WAF, gelen HTTP isteklerini analiz ederek kötü niyetli içerikleri filtreler ve zararlı isteklerin sisteminize ulaşmasını engeller. Örneğin, aşağıdaki gibi kurallar ekleyerek HTTP tünellemesi riskini azaltabilirsiniz:

# HTTP Tünelleme Koruma Kuralı
SecRule REQUEST_HEADERS:User-Agent "malicious-user-agent" "id:10001,phase:1,deny,status:403"

Bu kural, belirli bir kötü niyetli User-Agent ile gelen istekleri engelleyerek, potansiyel bir saldırının önüne geçer.

Sistem üzerinde ayrıca, en son güvenlik yamalarının (patch) uygulanması da zorunludur. Qlik Sense’in en güncel sürümünü kullanmak, bilinen zafiyetlere karşı korunmanın en etkili yollarından biridir. Her güncellemenin öncesinde sistemlerinizi etkileyebilecek değişiklikleri test etmek, sorunsuz bir geçiş sağlar.

Kişisel olarak, firmaların uyguladığı sıkılaştırma yöntemleri (hardening) de önemlidir. Bu, yalnızca yazılım güncellemeleri ile sınırlı değildir. Sisteminizi korumak için şunları uygulayabilirsiniz:

  1. Minimize Yetkiler: Kullanıcı hesaplarını sadece gerekli izinlerle sınırlı tutarak, yetki yükseltme saldırılarına karşı koruma sağlanabilir.
# Kullanıcı İzinlerini Kontrol Etme
SELECT * FROM users WHERE role NOT IN ('admin', 'superuser');

  1. Gelişmiş Kullanıcı Doğrulaması: İki faktörlü kimlik doğrulama (2FA) eklemek, yetkisiz erişimleri zorlaştıracaktır. Özellikle yönetici hesapları için bu yöntem kritik öneme sahiptir.

  2. Güçlü Şifreleme Kullanımı: Aktarımlar sırasında verilerinizi şifrelemek, veri bütünlüğünü korur. HTTPS kullanımı zorunludur.

  3. Ağ Segmentasyonu: Qlik Sense uygulamanızın bulunduğu ağı segmentlere ayırarak güvenlik açıklarını sınırlayabilir ve saldırı yüzeyini küçültebilirsiniz.

  4. Loglama ve İzleme: Tüm aktivitelerin kaydedilmesi ve izlenmesi, anormal durumların tespitini kolaylaştırır. Belirli bir durumu hızlıca analiz etmenize olanak sağlar.

Olası bir saldırı senaryosunu düşündüğümüzde, saldırganın uygulamanıza doğrudan erişimi olduğunu varsayalım. HTTP tünelleme zafiyetinden faydalanarak arka uç sunucusuna kötü niyetli istekler gönderebilir. Ancak yukarıdaki yöntemlerle bu tür saldırılara karşı önemli bir savunma hattı kurmuş olursunuz. Uygulamanızda alacağınız her önlem, siber güvenlikte proaktif bir yaklaşım sergilemenizi sağlayacaktır.

Sonuç olarak, hiçbir güvenlik önlemi %100 güvenli değildir. Ancak, zafiyetleri proaktif bir şekilde yöneterek ve sıkılaştırma yöntemlerini etkin bir biçimde kullanarak, sisteminizin güvenliğini büyük ölçüde artırabilirsiniz. Qlik Sense üzerindeki CVE-2023-48365 açığını kapatmak için bu adımlar atılmalıdır.