Squid Proxy'deki Eski Açık Squidbleed Kullanıcı Verilerini Sızdırıyor – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Squid Proxy'deki Eski Açık Squidbleed Kullanıcı Verilerini Sızdırıyor

1997'den beri var olan ve 'Squidbleed' olarak adlandırılan kritik bir güvenlik açığı, popüler Squid Proxy yazılımında keşfedildi. Açık, paylaşımlı ağlardaki kullanıcıların hassas verilerini ifşa etme potansiyeli taşıyor.

Squidbleed güvenlik açığını simgeleyen bir ağ proxy sunucusu ve veri sızıntısı konsepti.

Ne Oldu

Siber güvenlik dünyası, neredeyse otuz yıldır fark edilmeden varlığını sürdüren kritik bir güvenlik açığıyla sarsıldı. Calif.io'daki güvenlik araştırmacıları, yaygın olarak kullanılan açık kaynaklı web proxy sunucusu Squid'de, 1997 yılından kalma bir bellek sızıntısı güvenlik açığı tespit etti. Araştırmacılar, bu açığı, siber güvenlik tarihindeki en kötü şöhretli zafiyetlerden biri olan OpenSSL'deki Heartbleed'e benzerliği nedeniyle 'Squidbleed' olarak adlandırdı.

Resmi olarak CVE-2026-47729 koduyla takip edilen bu zafiyet, Squid'in temel işlevlerinden birinde, FTP protokolü verilerini işleyen parçasında yatıyor. Squid, internet trafiğini yönetmek, bant genişliğinden tasarruf etmek ve önbellekleme yoluyla erişim hızını artırmak için milyonlarca sistemde kullanılıyor. Bu sistemler, kurumsal ağlardan okullara ve halka açık Wi-Fi noktalarına kadar geniş bir yelpazeyi kapsıyor. Zafiyetin bu kadar uzun süre tespit edilememiş olması, eski kod tabanlarının ne gibi riskler barındırabileceğini bir kez daha gözler önüne seriyor. Bu durum, düzenli kod denetimlerinin ve modern güvenlik testlerinin önemini vurguluyor. İlginç bir şekilde, bu denli eski ve derine gömülmüş bir hatanın keşfi, Anthropic tarafından geliştirilen Claude Mythos yapay zeka modelinin yardımıyla gerçekleştirildi. Bu da yapay zekanın siber güvenlik alanında, özellikle de insan gözünden kaçabilecek karmaşık hataların tespitinde ne kadar güçlü bir araç haline geldiğini gösteriyor.

Ele Geçirilen Veriler

Squidbleed zafiyeti, doğrudan kullanıcıların hassas bilgilerini hedef alıyor. Saldırganlar bu açığı kullanarak, aynı proxy sunucusunu kullanan diğer kullanıcıların şifrelenmemiş HTTP isteklerine ait verileri ele geçirebilir. Bu veriler arasında son derece kritik bilgiler bulunuyor:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Kimlik Doğrulama Bilgileri: Kullanıcı adları ve parolalar gibi çeşitli web sitelerine ve çevrimiçi hizmetlere giriş yapmak için kullanılan bilgiler.
  • Oturum Belirteçleri (Session Tokens): Bir kullanıcının bir web sitesinde oturumunu açık tutmasını sağlayan ve ele geçirildiğinde saldırganın o kullanıcı gibi davranmasına olanak tanıyan dijital anahtarlar.
  • API Anahtarları: Farklı uygulamaların birbiriyle iletişim kurmasını sağlayan ve genellikle değerli verilere veya işlevlere erişim yetkisi veren özel anahtarlar.

Bu bilgilerin sızdırılması, kimlik hırsızlığına, finansal dolandırıcılığa ve kurumsal ağlara yetkisiz erişime yol açabilir. Zafiyetin doğası gereği, sızıntı tamamen sessiz ve kurbanın haberi olmadan gerçekleşebilir. Etkilenen verilerin kapsamı, proxy üzerinden geçen şifrelenmemiş trafiğin niteliğine bağlıdır. Modern internetin büyük bir kısmı HTTPS ile şifrelenmiş olsa da, özellikle kurumsal ve eski sistemlerde hala hassas verilerin şifresiz HTTP üzerinden aktarıldığı durumlar mevcuttur. Bu tür ortamlar, Squidbleed saldırıları için en verimli hedefleri oluşturur. Bu tür bir olay, siber güvenlik alanında sürekli olarak güncellenen Veri Sızıntısı Haberleri arasında önemli bir yer tutmaktadır.

Saldırı Nasıl Gerçekleşti

Saldırının teknik temeli, 'sınır dışı okuma' (out-of-bounds read) olarak bilinen bir bellek yönetimi hatasına dayanıyor. Squid'in FTP (Dosya Aktarım Protokolü) trafiğini işleyen kod parçası, kendisine ayrılan bellek aralığının dışına taşarak veri okuyabiliyor. Bu 'taşan' bölge, daha önce aynı proxy'yi kullanan başka bir kullanıcı tarafından yapılan bir HTTP isteğinden arta kalan verileri içerebilir.

Saldırıyı gerçekleştirmek için saldırganın, proxy'nin erişebileceği bir FTP sunucusunu kontrol etmesi gerekiyor. Saldırı adımları şu şekilde işliyor:

  1. Saldırgan, kendi kontrolündeki kötü amaçlı bir FTP sunucusunu kurar.
  2. Saldırgan, hedef Squid proxy'sine bu FTP sunucusuna bir istek göndermesi için bir tetikleme yapar.
  3. Proxy, FTP sunucusuna bağlandığında, FTP parser'daki hata tetiklenir ve program, bellek aralığının dışındaki verileri okumaya başlar.
  4. Bu okunan veriler, bellekte tesadüfen bulunan ve başka bir kullanıcıya ait olan önceki bir HTTP isteğinin parçalarıdır.
  5. Saldırgan, bu sızan verileri kendi FTP sunucusu üzerinden sessizce toplar.

Zafiyetin en endişe verici yanı, standart HTTPS bağlantılarından etkilenmemesidir. Eğer bir kullanıcı, proxy üzerinden uçtan uca şifreli bir HTTPS tüneli (CONNECT metodu) kullanıyorsa, verileri güvendedir. Ancak, proxy'nin kendisi TLS şifrelemesini sonlandırıyorsa (yani şifreli trafiği proxy'de açıp tekrar şifreliyorsa) veya trafik tamamen şifresiz HTTP ise, veriler risk altındadır. Bu durum, özellikle kurumsal ağlarda trafiği denetlemek ve filtrelemek için kullanılan yapılandırmalarda yaygındır.

Etkilenenler Kim

Squidbleed, özellikle paylaşımlı proxy ortamlarında büyük bir risk teşkil etmektedir. Bu, birden fazla kullanıcının veya cihazın internet trafiğinin tek bir Squid proxy örneği üzerinden yönlendirildiği anlamına gelir. Potansiyel olarak etkilenen ortamlar şunlardır:

  • Kurumsal Ağlar: Çalışanların internet erişimini yönetmek, filtrelemek ve güvenliği sağlamak için Squid gibi proxy'leri kullanan şirketler.
  • Okullar ve Üniversiteler: Öğrenci ve personelin ağ trafiğini kontrol etmek için merkezi proxy sistemleri kuran eğitim kurumları.
  • Halka Açık Wi-Fi Ağları: Oteller, kafeler, havaalanları gibi yerlerde sunulan ve kullanıcı trafiğini bir proxy üzerinden geçiren kablosuz ağlar.
  • İnternet Servis Sağlayıcıları (İSS): Müşterileri için önbellekleme ve trafik optimizasyonu amacıyla proxy kullanan bazı servis sağlayıcılar.

Bu ortamlarda, bir saldırgan aynı ağı kullanarak diğer kullanıcıların verilerini gizlice sızdırabilir. Bir kafedeki halka açık Wi-Fi'ye bağlanan bir saldırgan, aynı ağdaki diğer müşterilerin e-posta şifrelerini veya sosyal medya oturum bilgilerini ele geçirebilir.

Ne Yapabilirsin

Squid proxy yöneticileri ve kullanıcıları için zafiyetin etkilerini azaltmak adına atılabilecek net adımlar bulunmaktadır. Squid projesi, sorunu gidermek için güncellemeler yayınladı.

  • Yazılımı Güncelle: En etkili çözüm, Squid proxy yazılımını yamalı bir sürüme yükseltmektir. Zafiyet, Nisan 2026'da Squid 8 sürümüne dahil edilen bir yama ile giderildi. Ayrıca, Haziran 2026'da yayınlanan Squid 7.6 sürümü de bu yamayı içermektedir. Sistem yöneticilerinin en kısa sürede bu sürümlerden birine geçmesi önerilir.
  • FTP Desteğini Devre Dışı Bırak: Eğer ağınızda FTP protokolü kullanılmıyorsa, riski tamamen ortadan kaldırmak için Squid yapılandırmasında FTP desteğini devre dışı bırakmak en güvenli yoldur. Zafiyet, özellikle FTP parser'da yer aldığı için bu protokolü kapatmak, saldırı vektörünü ortadan kaldıracaktır.
  • Trafik Şifrelemesini Zorunlu Kıl: Mümkün olan her yerde uçtan uca şifreleme (HTTPS) kullanımını zorunlu kılın. Proxy'de TLS sonlandırması yapılıyorsa, bu yapılandırmanın risklerini gözden geçirin ve dahili ağda bile trafiğin şifresiz kalmamasını sağlayın.

Şirket Ne Diyor

Kaynak makalede Squid projesinden veya geliştiricilerinden doğrudan bir resmi açıklama yer almamaktadır. Ancak, projenin güvenlik açığına verdiği yanıt oldukça hızlı ve etkilidir. Güvenlik açığının bildirilmesinin ardından, geliştiriciler sorunu çözmek için harekete geçmiş ve yamaları kısa sürede ana kod tabanına entegre etmişlerdir. Nisan 2026'da Squid 8 ve Haziran 2026'da Squid 7.6 sürümlerinin yayınlanması, açık kaynak topluluğunun güvenlik bildirimlerini ciddiye aldığını ve kullanıcılarını korumak için gerekli adımları attığını göstermektedir. Calif.io'daki araştırmacılar, bu bulgularının yanı sıra yapay zeka yardımıyla OpenSSL'de yüksek önem derecesine sahip başka bir zafiyet ve sunucuları hızla devre dışı bırakabilen HTTP/2 Bomb adlı bir DoS saldırı tekniği de bulduklarını belirtmişlerdir.

Kaynak

https://www.securityweek.com/decades-old-squid-proxy-flaw-squidbleed-can-expose-user-data/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Texas Parks & Wildlife Veri Sızıntısı 3 Milyonu Etkiledi

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.