Twitter üzerinde duyurulan zero-day zafiyet’inin Nginx 18.1 versiyonunda olduğu iddia edildi ve github üzerinden istismas kodu (PoC) yayınlandı.
Github üzerinde yapılan açıklamalarda, Bu istismarı birkaç haftadır geliştirmekte olan kardeş grubumuz BrazenEagle’dan almıştık. Başka bir üretici güvenlik açığı üzerinde çalıştığından, kullanımın hala erken aşamalarındayız. LDAP, Nginx ile pek etkileşime girmediği için başlangıçta kafamız karıştı, ancak Nginx’in yanında bunun kullanılmasına izin veren bir ldap-auth arka plan programı var. Öncelikle özel Github, Bitbucket, Jekins & Gitlab örneklerine erişim sağlamak için kullanılıyor. Daha fazla test yapılması gerekir.
Nginx içindeki LDAP-auth arka plan programı ile ilgili modül büyük ölçüde etkileniyor. LDAP isteğe bağlı oturum açma işlemlerini içeren her şey de işe yarar. Buna Atlassian hesapları da dahildir. Sadece bazı yaygın WAF’ları atlayabilir miyiz diye çalışıyoruz.
Varsayılan nginx yapılandırmaları, savunmasız veya yaygın yapılandırmalar gibi görünüyor.
ldapDaemon.enabled
Özelliği devre dışı bırakmanızı önemle tavsiye ederiz.ldapDaemon.ldapConfig
özellikler bayrağını doğru bilgilerle değiştirdiğinizden emin olun ve varsayılan olarak bırakmayın.
ldapDaemon
, her zaman kullanılmasa da , Nginx’te değil, LDAP’nin kendisinde bir sorun olduğunu söylüyor. Tam alıntı, “CI/CD ardışık düzeni örneği sertleştirir, adımlardan biri LDAP modülünü tamamen çıkarmaktır” şeklindedir. Bu kısmen doğrudur. Aslında, nginx’i derlerken bir seçenektir. Ancak, LDAP’nin kendisinde bir sorun olabilir.
Zafiyet şu an için bir iddia olsada, güvenlik açığı ile iligili yeni bilgiler geldikçe sizler ile paylaşır olacağız.
Kaynak: https://twitter.com/Gi7w0rm/status/1512767468267352069