Mayıs 2024'te, bir iç güvenlik ekibi mevcut platformlarını değiştirmek amacıyla LogPoint SIEM/SOAR platformunu değerlendirirken, yazar 24 saat içinde sistemi kırmaya çalıştı. Bu süre zarfında üç ciddi zafiyet keşfedildi ve sorumlu ifşa süreci başlatıldı. Aylar sonra, sisteme daha derinlemesine bakıldığında, başlangıçta zararsız görünen altı küçük hatanın nasıl bir araya gelerek çok daha büyük bir soruna, yani uzaktan kod çalıştırmaya (RCE) yol açtığı ortaya çıktı.
Bu makale, bir güvenlik araştırmacısının yabancı kodları, belgelenmemiş davranışları ve test edilmesi amaçlanmayan varsayımları nasıl incelediğini anlatıyor. Keşif süreci, iki Nginx katmanı ve Python servisleri ile Docker tabanlı Java mikroservisleri arasındaki ayrım gibi cihazın istek akışının haritalandırılmasıyla başladı. Zafiyet zinciri adım adım oluştu: Açıkta kalan dahili rotalar kimlik doğrulama ilkellerine erişim sağladı, sabit kodlanmış bir imzalama sırrı sahte erişimi mümkün kıldı, sızan dahili API kimlik bilgileri mikroservis dünyasında daha yüksek ayrıcalıkların kilidini açtı, bir SSRF pivotu yalnızca ana bilgisayara özel Python uç noktalarına ulaşarak bir yönetici oturumu oluşturdu ve son olarak, içe aktarılan uyarı kuralı paketlerindeki statik bir AES şifreleme anahtarı aracılığıyla doğrulama atlanarak bir kural motoru eval() sink'ine erişildi. Her adım, bir zayıflığın bir sonraki için nasıl kaldıraç görevi gördüğünü göstererek, cihaz üzerinde kod yürütülmesine kadar giden süreci detaylandırıyor.
Araştırma, Ubuntu tabanlı sistemde standart kurtarma iş akışı kullanılarak kök erişimi elde edilmesiyle başladı. Ana web uygulaması Python ile yazılmıştı ve özelleştirilmiş bir Flask framework'ü üzerine kuruluydu. Kod tabanının bir kısmı derlenmiş .pyc dosyaları olarak geldiği için, eksik kaynak kodlar uncompyle6 ile tersine mühendislik yapılarak analiz için uygun hale getirildi. Bu detaylı süreç, küçük görünen hataların birleşerek kritik güvenlik açıklarına yol açabileceğini gözler önüne seriyor.
Güvenlik araştırmacısı, başlangıçta zararsız görünen altı küçük hatayı birleştirerek LogPoint SIEM/SOAR platformunda kimlik doğrulama öncesi uzaktan kod çalıştırma (RCE) zafiyeti keşfetti.