BiznetBiznet

Rest API ve bir başka güvenlik açığı

Yazar: Emre Can Lekesiz

Ürün: CyberArk

Modüller: PVWA

Versiyon: v9.x ve v10.1

Raporlayan: Emre Can Lekesiz

Problem Detayları:

CyberArk’ın RestAPI servisinde daha önce de bir güvenlik açığı bulunmuştu. Bu açık, RestAPI kullanılmayan durumlarda etkili olmuyordu ancak bu kez yeni bulunan bir güvenlik zafiyetinden dolayı RestAPI kullanmıyor olsanız dahi PVWA konusundaki bu açığı kapatmanız gerekiyor.

PVWA sunucusunun kaynaklarına yetkisiz erişime yol açan zafiyet, PVWA raporlama mekanizmasını işlettiği için oluşturduğunuz raporları da etkileyebilir. Buna ek olarak, şifrelerinizin de deşifre olma riski var. Bu zafiyetin neden olabileceği iki ayrı durumu kısaca şöyle anlatabiliriz:

PVWA Rest API

Rest API kullanıyorsanız, servis bu zafiyetten doğrudan etkileniyor. Zararlı kod API çağrısıyla PVWA sunucusuna gömülebiliyor ve dahası Remote Code Execution (RCE) ataklarına imkan tanıyor.

Not: Bu güvenlik zafiyetinin hiç bir şekilde Dijital Kasanızın (Vault) etkilemediğini CyberArk güvenlik ekibi teyit etmiş durumdadır.

PVWA Reports

CyberArk kullanıcılarına verilen yetkiler çerçevesinde –ki bahsettiğimiz yetki en basitinden Add / Edit yetkisi de olabilir- bu erişim hakkı sömürülerek raporlama mekanizmasına zararlı yazılım gömülebilir ve raporun açıldığı son kullanıcı bilgisayara söz konusu zararlı bulaşabilir.

Çözüm Önerisi:

CyberArk acil bir şekilde aksiyon alınıp gerekli yamanın geçilmesini öneriyor. Yamayı iki şekilde uygulayabilirsiniz:

  • DLL dosyasını eskisiyle değiştirebilirsiniz.
  • Versiyonunuza uygun, en son yükleme paketini çalıştırabilir ve PVWA güncellemesi yapabilirsiniz.
  1. PVWA arayüzüne oturum açınız.
  2. Sağ üst köşedeki About linkine tıklayarak PVWA versiyonunuzu öğreniniz:
  3. PVWA versiyonunuz aşağıdaki tablodan biriyle eşleşiyorsa sadece yamalı DLL dosyasını indirip eskisiyle değiştirmeniz yeterli olacaktır.
  4. Eğer PVWA versiyonunuz aşağıdaki tablodan eşleşmiyorsa sürümünüze uygun en son versiyonu indirip yükleme paketini çalıştırmanız gerekmektedir. Örneğin eğer PVWA versiyonunuz 9.7.1 ise, 9.7.2 için olan DLL dosyasını indirip eskisiyle değiştirmeniz yeterli olacaktır.
  5. Aşağıdaki tabloyu inceleyerek, kullandığınız PVWA versiyonun karşısındaki linke tıklayıp gerekli paketi ya da DLL dosyasını indiriniz ve güncellemeyi uygulayınız.
  6. Dosyayı CyberArk SFE hesabınızı kullanarak indirebilir, eğer erişiminiz yok ise Biznet Bilişim’den temin edebilirsiniz.
Versiyon (build numarası) PVWA Installer Yamalanmış DLL
9.0 (9.00.01.96) Link Link
9.1 (9.10.00.275) Link Link
9.2 (9.20.00.153) Link Link
9.3.1 (9.30.01.28) Link Link
9.5.1 (9.50.01.14) Link Link
9.6 (9.60.0.216) Link Link
9.7.2 (9.70.02.8) Link Link
9.8 (9.80.0.7) Link Link
9.9 (9.90.0.18) Link Link
9.9.5.1 (9.95.20.2) Link
9.9.5.2 (9.95.50.2) *güncel yükleyiciyi kullanınız 9.9.5 için Link *DLL değiştirme söz konusu değil
9.9.6 (9.96.0.13) Link
9.10 (9.99.0.12) Link
9.10.1 (9.99.01.3)

*9.10 güncel yükleyişini kullanınız

Link *DLL değiştirme söz konusu değil
10.1 (10.1.0.8) Link
10.1.1 (10.1.1.9)

*10.1 güncel yükleyicisini kullanınız

Link *DLL değiştirme söz konusu değil
  1. Gerekli dosyayı temin ettikten sonra PVWA sunucusuna RDP bağlantısı yapınız.
  2. PVWA IIS yükleme dizinine erişiniz. Varsayılan olarak: C:\Inetpub\wwwroot\PasswordVault
  3. Bin klasörüne erişiniz.
  4. Bin klasörü içerisinde aşağıdaki dosyaların yedeğini alınız:
    1. Services.Web.dl
    2. Infra.Reports.Interfaces.dll
  5. Yamalanmış güncel DLL versiyonları ile bu dosyaları Bin klasörü altında değiştiriniz.
  6. Tabloyu kullanarak versiyon numaranıza uygun yamayı temin ettiğinizden emin olunuz.

Yamalı DLL dosyalarına ek olarak, desteği halen devam eden versiyonlar için güncellenmiş yükleme paketleri mevcuttur:

  • 9.5 (build numarası 9.95.50.2, Link)
  • 10 (build numarası 9.99.01.3, Link)
  • 1 (build numarası 10.1.1.9, Link)

Eğer daha önceden indirdiğiniz örneğin 9.9.5 yükleme paketiniz mevcut ise en son build numarasına göre yukarıdaki linki kullanarak yeniden indirmeniz gerekmektedir.

Sürümünüze uygun en güncel PVWA yükleyicisini nasıl uygulayabilirsiniz:

  1. Build numaranıza uygun yükleyici paketi temin ediniz.
  2. PVWA sunucusunda web.config dosyasının bir yedeğini alınız. Varsayılan dizin: C:\Inetpub\wwwroot\PasswordVault\
  3. İndirdiğiniz yükleyici paketini zip içerisinden çıkartınız. İçerisinde Password Vault Web Access klasörüne erişiniz ve Setup.exe dosyasına sağ tıklayıp Run-As-Admin seçeneğiyle çalıştırınız.
  4. Aşağıdaki Evet Hayır penceresi çıktığında Yes cevabı vererek güncellemeyi çalıştırınız.
  5. Eğer yükleme dizini konusunda bir sorun ile karşılaşırsanız Browse butonuyla “CyberArk Password Vault Web Access” Windows Installer’a erişiniz. Setup.exe dosyasıyla aynı dizinde bulunmaktadır.
  6. Yükseltme işlemi yaptığımız için aşağıdaki soru çıktığında No seçeneğini seçmeniz önemlidir.
  7. Finish butonuyla yükleyici paketinin işlevini sonlandırabilirsiniz. “Create Env Utility” hakkında bir mesaj alırsanız bu mesajı direkt OK butonuyla geçebilirsiniz.

Not: Rest API 9.0 öncesi versiyonlarda bulunmadığı için bu zafiyetten 9.0 öncesi versiyonları kullananlar etkilenmemektedir.

Rest API tamamen kapatılabilir mi?

Eğer Rest API servislerini kullanmıyorsanız tamamen kapatmanız mümkündür. Yazımızın buradan sonrası sadece 9.0 ve 9.10 versiyonları arasında bir sürüm kullanan müşterilerimizi ilgilendirmektedir. Önemli bir hatırlatma ise PSM ve PSMP arka planda bazı RestAPI servislerini kullanarak diğer modüller ile haberleşmektedir (live session monitoring). Rest API tamamen kapatılması bu modüllerde çeşitli hatalar almanıza neden olabilir.

Not: CyberArk RestAPI servisinin tamamen kapatılmaması, aksine yazımızda bahsettiğimiz güncelleme işleminin uygulanması gerektiğini belirtmektedir.

Yine de Rest API servisini kapatmak isterseniz:

  1. 0 ve 9.10 versiyonları arasında olduğunuzdan emin olunuz (9.10 dahil)
  2. PVWA IIS dizininde, web.config dosyasını düzenleyiniz, varsayılan olarak: C:\Inetpub\wwwroot\PasswordVault
  3. <system.serviceModel> komutunu bulunuz ve altında bulunan ilgili bölümü siliniz:

 

Her zaman en güncel versiyonda olmanız gerektiğini hatırlatır. Güncelleme ve healthcheck çalışmaları için bizlere helpdesk@biznet.com.tr adresinden ulaşabilirsiniz.

emrecan.lekesiz
Yazar: emrecan.lekesiz