Saldırının Genel Çerçevesi
WatchTowr Labs tarafından tanımlanan SOAPwn açığı, .NET tabanlı uygulamalarda Simple Object Access Protocol (SOAP) mesajlarının işlenmesinde kritik bir güvenlik zaafı oluşturuyor. Bu zafiyet, saldırganların sahte Web Services Description Language (WSDL) dosyaları aracılığıyla HTTP istemci proxy’lerini manipüle ederek rastgele dosya yazımı ve uzaktan kod çalıştırma gerçekleştirmesine olanak sağlıyor. Black Hat Europe 2024 etkinliğinde detayları paylaşılan bu sorun, özellikle Barracuda Service Center RMM, Ivanti Endpoint Manager ve Umbraco 8 gibi ürünleri etkiliyor.
Hangi Sistemler Risk Altında?
SOAPwn açığı, .NET Framework kullanan ve ServiceDescriptionImporter sınıfı üzerinden WSDL dosyalarını işleyen uygulamalarda ortaya çıkıyor. Barracuda Service Center RMM 2025.1.1 ve Ivanti EPM 2024 SU4 SR1 sürümlerinde bu zafiyet giderilmiş olsa da, Umbraco 8 sürümü 24 Şubat 2025’te ömrünü tamamladığı için halen risk altında. Bu durum, özellikle kurumsal ortamlar ve yönetilen hizmet sağlayıcıları için ciddi tehdit oluşturuyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı, saldırgan kontrollü bir WSDL dosyasının hedef uygulamaya sağlanmasıyla başlıyor. Bu dosya, HTTP istemci proxy’sinin URL’sini “file://” protokolü ile dosya sistemi yoluna yönlendirerek, dosya yazma işlemi gerçekleştiriyor. Böylece, saldırgan dosya sistemine rastgele dosya yazabiliyor ve mevcut dosyalar üzerine yazma yapabiliyor. Hipotetik bir senaryoda, SMB paylaşımı üzerinden NTLM kimlik doğrulama trafiği yakalanarak kırılabiliyor. Ayrıca, ASPX, CSHTML web kabukları veya PowerShell betikleri gibi zararlı yükler bırakılarak uzaktan kod çalıştırma sağlanabiliyor. Bu teknik, MITRE ATT&CK’te T1190 (Exploit Public-Facing Application) ve T1210 (Exploitation of Remote Services) kategorileriyle ilişkilendirilebilir.
Sistem Yöneticileri İçin Pratik Öneriler
- SOAP ve WSDL işlemlerini gerçekleştiren uygulamaların güncel yamalarını takip edin ve uygulayın.
- HTTP istemci proxy’lerinin URL doğrulama mekanizmalarını güçlendirin veya alternatif güvenli kütüphaneler kullanın.
- EDR çözümlerinde dosya sistemi üzerinde anormal yazma aktivitelerini izleyin ve uyarı kuralları oluşturun.
- SMB trafiğini segmentlere ayırarak ve erişim kontrolleri uygulayarak NTLM relay saldırılarını zorlaştırın.
- Uygulama katmanında kullanıcı girdilerinin doğrulanması ve güvenli kodlama standartlarının uygulanmasını sağlayın.
- Olay müdahale (incident response) ekiplerini bu zafiyet ve olası istismar senaryoları konusunda bilgilendirin.
- Loglama sistemlerinde SOAP istekleri ve dosya sistemi erişim kayıtlarını detaylı şekilde tutun.
- Zero Trust mimarisi kapsamında uygulama ve ağ segmentasyonunu gözden geçirin.
Kurumsal Ortamlarda Olası Senaryo
Bir finans kurumunda SOAP tabanlı entegrasyonlar kullanan bir uygulama, saldırganın kontrolündeki sahte WSDL dosyasını işlediğinde, dosya sistemi üzerinde zararlı bir ASPX web kabuğu oluşturulabilir. Bu kabuk aracılığıyla saldırgan, kurumun iç ağına uzaktan erişim sağlayarak kritik verilere erişebilir. Bu durum, hem veri sızıntısı hem de fidye yazılımı saldırıları için zemin hazırlayabilir. Bu nedenle, e-posta güvenliği ve ağ segmentasyonu gibi önlemlerle birlikte uygulama güvenliği de öncelikli hale gelmelidir.
Teknik Özet ve CVE Bilgileri
- Zafiyetler: CVE-2025-34392 (Barracuda Service Center RMM), CVE-2025-13659 (Ivanti Endpoint Manager)
- Hedef Sistemler: .NET Framework kullanan SOAP istemcileri, özellikle ServiceDescriptionImporter sınıfı ile WSDL dosyası işleyen uygulamalar
- Saldırı Adımları: 1) Sahte WSDL dosyasının sağlanması, 2) HTTP proxy URL’sinin “file://” protokolü ile dosya sistemine yönlendirilmesi, 3) Rastgele dosya yazımı ve zararlı yüklerin bırakılması, 4) Uzaktan kod çalıştırma
- Önerilen Savunma: Güncel yamaların uygulanması, URL doğrulama kontrollerinin güçlendirilmesi, EDR ve SIEM çözümlerinde anormal dosya yazma aktivitelerinin izlenmesi, ağ segmentasyonu ve MFA kullanımı