BiznetBiznet

By Emre Can Lekesiz

L1 Terminal hatası ve güvenlik açığı hakkında

Ürün: CyberArk

Modüller: Tümü

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Intel işlemcilerde bulunan bir güvenlik açığı sunucularınızdaki verilerinizi açıkça ortaya çıkmasına neden olabilir. Intel® Core® ve Intel® Xeon® işlemcilerinin execution-side kanalında bulunan ve L1 Terminal Fault (L1TF), Foreshadow, Foreshadow-NG olarak bilinen bu güvenlik açığı konusunda CyberArk tarafına neler yapılabiliriz konulu çalışmamızın detaylarını yazımızın devamında bulabilirsiniz.

Güvenlik açığı işlemci seviyesinde olduğu için bu kez modül bağımsız, tüm CyberArk bileşenlerinizi ilgilendirmektedir.

İşlemci tarafında mevcut tasarım zayıflıklarını kullanan bu zafiyet, L1 data cache bölümünde bulunan verileriniz ele geçiren saldırgan sunuculara lokal kullanıcı olarak erişmesini sağlayabilmektedir. İşin daha da kötüsü sorun işlemci seviyesinde olduğundan, VMware ESX ve Amazon Web Services ve benzeri sanallaştırılan ortamlarda bu zafiyet üzerinden bir sunucunun verisini ele geçiren saldırgan, diğer sunucularınıza da zıplayabilmektedir. Dolayısıyla CyberArk bileşenlerini içeren sunucularınız da risk altında.

Zafiyet hakkında detaylı bilgiye ulaşmak için:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Çözüm Önerisi:

CyberArk, işletim sisteminizin üreticisi veya sanallaştırma ürününüz tarafından yayınlanan güncellemelerin ivedilikle söz konusu sunucularınıza uygulamanızı önermektedir.

Güncelleştirme politikalarının sizlerin nezdinde olduğunun bilincinde olmakla beraber, yukarıdaki linkleri referans olması açısından paylaştık. CyberArk’ın domain üyesi sunucularına güncelleştirmeleri geçmeniz sorun teşkil etmeyecektir, ancak domain dışında tutulan Vault sunucuları için yapmanız gerekenleri ise aşağıda bulabilirsiniz:

  1. Vault ve DR Vault için yapmanız gerekenler

Microsoft Security Update paketlerini uygulayınız.

Windows 2008R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343900
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4343900)

 Windows 2012R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343898
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB4343898)

Windows 2016:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343887
Tıklayınız: 2018-08 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4343887)

  1. Vault sunucuda hizmeti kapatınız. PrivateArk Server programı ile servisi stop ediniz.
  2. Aşağıdaki Windows servislerini başlatınız:
    1. Windows Update
    2. Windows Module Installer
  3. Server 2012 ve 2016 için aşağıdaki prosedürü uygulayınız:
    1. Aşağıdak registry lokasyonuna gidiniz:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiserver
    2. “Start” anahtarının değerini 3 yapınız:
    3. Bu değişiklikten sonra Vault sunucunuzu yeniden başlatmanız gerekmektedir.
    4. Sunucu yeniden başladığında Windows Installer servisini başlatınız.
    5. Server 2016 kullanıyorsanız App Readiness servisinin değerlerini Otomatik olarak seçiniz ve servisi başlatınız.
  4. İlgili güncelleştirmeyi indirip Vault sunucuya kopyalayınız ve yükleyiniz.
  5. Yükleme sonrası başlattığınız servisleri durdurunuz ve hatta durumlarını disable ediniz:
    1. Windows Update
    2. Windows Module Installer
  6. Server 2012 ve 2016 için, tekrar aynı registry anahatarına ulaşınız ve bu kez değeri 4 olacak şekilde değiştiriniz. Bkz. 3.b
  7. Vault sunucunuzu restart ediniz.
  8. Server 2016 kullanıyorsanız App Readiness servisini durdurunuz ve devre dışı olacak şekilde değerini değiştirinizi.
  9. Sunucu restart edildiğinde Vault hizmetinizin başladığından emin olunuz başlamadıysa PrivateArk Server ile servisi start ediniz.
  10. Windows Servislerinde CyberArk Event Notification servisinin başladığından emin olunuz.

Eğer Hyper-V ortamında sanallaştırılmış sunucular kullanıyorsanız ve firmware güncelleştirmelerini; tüm sanal makinelerinizi kapatıp, sanal makinelerinizi başlatmadan uygulamanız gerektiğini unutmayınız.

  1. Privileged Threat Analytics (PTA) için yapmanız gerekenler

PTA v10.5.1 versiyonuna güncelleştirme yapmanız gerekmektedir. Bu versiyon gerekli işletim sistemi güncelleştirmeleri kapsamaktadır.

PTA güncelleştirmesi için:

  1. PTA imajının bir snapshot’ını alınız.
  2. PTA sistem konsoluna root kullanıcısı ile oturum açınız, root parolası PTA kurulumunda tanımladığınız paroladır.
  3. WinSCP veya benzeri bir araç ile aşağıdaki dosyaları /tmp dizinine kopyalayınız, dosyaların temini konusunda bizimle iletişim kurunuz:
    1. pta_upgrade.sh
    2. pta_upgrade-10.5.1.tgz
  4. sh dosyasının izinlerini değiştiriniz:
    chmod 700 /tmp/pta_upgrade.sh
  5. Komut satırında /tmp dizinine ulaşınız ve aşağıdaki komutu çalıştırınız:
    ./pta_upgrade.sh
  6. Eğer LDAPs üzerinden konfigüre edilmiş AD entegrasyonlu bir PTA ortamına sahipseniz, güncelleştirme esnasında domain sunucunuzun FQDN adresini yazmanız istenecektir.
  7. İşlem bitiminde PTA sunucunuzu yeniden başlatınız.

Güncelleştirme sonrası işlemler için PAS Installation Guide dökümanında, Upgrade PTA Server ve Post Upgrade Configuration adımlarını incelemek isteyebilirsiniz.

PTA Network Sensorleri için:

  1. WinSCP ile PTA Network sensorüne admin kullanıcısı ile bağlanınız
  2. /tmp/ dizinine aşağıdaki paketleri yükleyiniz:
    1. ag_pkg_v51.tgz
    2. ag_pkg_inst.sh
  3. PuttY veya benzeri bir uygulama ile SSH oturumu açınız.
  4. Admin kullanıcısının parolasını yazınız
  5. SU komutu ile root kullanıcısına geçiniz
  6. PTA sensor güncelleştirmesinin bulunduğu /tmp/ dizinine geçiniz
  7. Aşağıdaki komutu çalıştırınız:
    chmod +x *.sh
  8. Güncelleştirme paketini uygulamak için:
    ./ag_pkg_inst.sh
  9. Güncelleştirme sihirbazında çıkan adımları takip ederek tamamlayınız. Tüm adımların tamamlandığı sorulduğunda “Y” ile onaylayınız.
  10. Doğrulama işlemi de tamamlandığında, sunucuyu yeniden başlatınız.

 

Her zaman en güncel versiyonda olmanız gerektiğini hatırlatır. Güncelleme ve healthcheck çalışmaları için bizlere helpdesk@biznet.com.tr adresinden ulaşabilirsiniz.

By Emre Can Lekesiz

Rest API ve bir başka güvenlik açığı

Ürün: CyberArk

Modüller: PVWA

Versiyon: v9.x ve v10.1

Raporlayan: Emre Can Lekesiz

Problem Detayları:

CyberArk’ın RestAPI servisinde daha önce de bir güvenlik açığı bulunmuştu. Bu açık, RestAPI kullanılmayan durumlarda etkili olmuyordu ancak bu kez yeni bulunan bir güvenlik zafiyetinden dolayı RestAPI kullanmıyor olsanız dahi PVWA konusundaki bu açığı kapatmanız gerekiyor.

PVWA sunucusunun kaynaklarına yetkisiz erişime yol açan zafiyet, PVWA raporlama mekanizmasını işlettiği için oluşturduğunuz raporları da etkileyebilir. Buna ek olarak, şifrelerinizin de deşifre olma riski var. Bu zafiyetin neden olabileceği iki ayrı durumu kısaca şöyle anlatabiliriz:
  Read more

By Emre Can Lekesiz

EPM Konsoluna yetkisiz erişim gerçekleşebilir

Ürün: CyberArk

Modüller: Endpoint Privilege Manager (EPM)

Versiyon: Dispatcher ile çalışan tüm EPM versiyonları

Raporlayan: Emre Can Lekesiz

Problem Detayları:

EPM ürününde tespit edilen bir güvenlik zafiyeti, EPM yönetim konsoluna yetkisiz erişim yapılmasına ve mevcut yetkinin artırılmasına yol açabilmektedir. Bu zafiyet, CyberArk’ın EPM ürünü, Dispatcher ile kullanıldığında EPM Manager ve Dispatcher arasında senkronizasyon sorununa yol açıp EPM Admin rolündeki kullanıcıların fazla yetkiye sahip olmasına neden olabilmektedir.
  Read more

By Emre Can Lekesiz

Dijital Kasanız Denial of Service Saldırısına Maruz Kalmasın

Ürün: CyberArk

Modüller: Vault ve Application Identity Manager Credential Provider

Versiyon: Vault v9.8 Öncesi, AIM v9.9.5 öncesi

Raporlayan: Emre Can Lekesiz

Problem Detayları:

CyberArk güvenlik ekibi dijital kasanızın (Vault) ve AIM Credential Provider ajanlarınızın DoS saldırılarına ve Remote Code Execution saldırılarına maruz kalabileceğini gösteren bir güvenlik zafiyetini ortaya çıkardılar. Zafiyetin, ürünün kullanmakta olduğu üçüncü parti bir kütüphaneden kaynaklandığı söyleniyor ancak hangi kütüphane ya da versiyonunun kullanıldığı açıklanmadı.
Üçüncü parti kütüphanenin bünyesinde kusurlu bir yapının olduğunu tespit eden CyberArk ekibi, bu durumun DoS saldırılarına neden olabileceğini belirledi ve gerekli iyileştirmeyi yaparak duyuruyu yayınladılar.
  Read more

By Emre Can Lekesiz

RDP Kabul eden Vault ve DR Vault sunucularına dikkat

Ürün: CyberArk
Modüller: Vault ve DR Vault
Versiyon: MS Windows Server2008R2, Server2012R2 Server2016
Raporlayan: Emre Can Lekesiz
Problem Detayları:

Yeni ortaya çıkan bir Microsoft zafiyeti, potansiyel olarak RDP ile bağlantı kabul edebilen dijital kasanızı (Vault ve DR Vault) Remote Code Execution saldırılarına maruz bırakabilir.

Bu güvenlik zafiyetinden Server2008, 2012 ve 2016 üzerine yüklenen ve RDP’ye izin veren tüm kasalar etkilenebilmektedir. Belirli IP’lerden RDP’ye izin veriyor olsanız dahi risk altındasınız.
  Read more

1 2 3 4