Biznet BilişimBiznet Bilişim

By Melih Berk Ekşioğlu

Schneider Electric – Pelco Sarix Professional Yetkisiz Erişim Güvenlik Açığı

CVE: CVE-2018-7228

Risk: Yüksek

Ürün: Schneider Electric Pelco Sarix Professional

Etkilenen Sürümler:  Pelco Sarix 3.29.67 ve öncesi

Raporlayan: Melih Berk Ekşioğlu

Raporlama Tarihi: 12 Kasım 2017

Üretici Cevabı: 30 Kasım 2017

Yama Tarihi: 2018-03-09

Problem Detayları:  Schneider Electric’e ait Pelco Sarix IP kamera sistemleri ve bunlara bağlı yönetim ve izleme ara yüzlerinden oluşan sistemlerdir. Kötü niyetli saldırganların,  yetkilendirme mekanizmalarındaki hatalardan faydalanarak web tabanlı yönetim arabirimlerine tam yetkili erişme, kayıtları izleme, silme ve kayıtlar üzerinde değişiklik yapmaları mümkündür.

Çözüm/Öneri: Üretici tarafından yayımlanan yamaların kurularak sistemin güncellenmesi tavsiye edilmektedir.

https://www.schneider-electric.com/en/download/document/SEVD-2018-058-01/
https://www.pelco.com/search#keyword/v3.29.67/tab/documents

By Melih Berk Ekşioğlu

Dell Aventail Management Console SSRF Açıklığı

CVE:CVE-2016-5120 (Reserved)

Ürün: Dell Aventail Management Console

Etkilenen Sürümler: Tüm Dell Aventail Management Console sürümleri

Raporlayan: Melih Berk Ekşioğlu

Raporlama Tarihi: 22 Nisan 2016

Üretici Cevabı: 22 Nisan 2016

Yama Tarihi: 16 Haziran 2016

Problem Detayları: SSRF (Server Side Request Forgery) saldırganların, zafiyeti barındıran sistemden harici sistemlere istek yollatabilmesi problemidir. Söz konusu durum sayesinde saldırganlar bu sistem ile aynı ağda veya Internet üzerine bulunan diğer sistemlere, bu sistemin ip adresi ile herkese açık bir proxy gibi istek yollayabilmektedirler. Belirtilen problem yerel ağa erişim, kimlik gizleme, farklı sistemlere size ait bir sistem üzerinden saldırı düzenleme, port ve ağ taraması yapma gibi işlemler için rahatlıkla kötüye kullanılabilir.

Çözüm/Öneri: Üretici tarafından yayımlanan hot-fix’in uygulanması tavsiye edilmektedir.
https://support.software.dell.com/sonicwall-secure-mobile-access/kb/204906

Referanslar: http://www.dell.com/learn/nz/en/nzbsd1/campaigns/contributors-dell-software-security?c=nz&l=en&s=bsd&cs=nzbsd1