МИТРЕ ЦАЛДЕРА: ОТКРИВЕНА КРИТИЧНА РАЊИВОСТ (ЦВЕ – 2025 – 27364)

МИТРЕ Цалдера је опен соурце платформа за симулацију напада и аутоматизацију сајбер безбједности. Развијена од стране МИТРЕ Цорпоратион, Цалдера омогућава Ред теаминг, Блуе теаминг и Пурпле теаминг активности помажући организацијама да тестирају своју отпорност на нападе и побољшају стратегију одбране. МИТРЕ Цалдера користи аутоматизоване агенте који се покрећу на компромитованим системима ради симулације напада.

Међутим, пронађена је веома озбиљна рањивост која се односи на удаљено извршавање кода у МИТРЕ Цалдери (РЦЕ) означена као ЦВЕ-2025-27364, и представља озбиљну пријетњу за безбједност система. У случају да нападачи искористе нову рањивост они могу остварити потпуну контролу над системом омогућавајући неовлашћен приступ, крађу података и даље латерално кретање унутар компромитоване мреже.

Са све већим бројем ЦВЕ рањивости које се користе за сајбер нападе потреба за проактивним откривањем пријетњи никад није била ургентнија. На самом почетку 2025.године НИСТ НВД (Натионал Вулнерабилитy Датабасе) је већ евидентирао 6.480 нових безбједносних проблема од којих су многи већ искоришћени у стварним нападима. Како се сајбер пријетње непрестано развијају безбједносни тимови широм свијета морају да приоритизују ране стратегије детекције како би остали корак испред покушаја експлоатације и ефикасно ублажили ризике.

Безбједносни стручњаци су недавно открили нову РЦЕ рањивост у МИТРЕ Цалдера платформи верзије до 4.2.0 и 5.0.0 (пре-цоммит-а 35бц06е) означену као ЦВЕ—2025-27364 са максималним ЦВСС скором 10.0. Ова рањивост утиче на могућност сервера да компајлира динамичке агенте (импланте). Оно што ову рањивост чини нарочито опасно је то да не захтијева аутентификацију за експлоатацију. Нападачи могу искористити рањиви АПИ да уметну малициозни код у процес компајлације што резултира инсталацијом неовлашћених агената (попут Сандцат и Манx). Експлоатација се може постићи злоупотребом гцц–еxтлдфлагс линкер заставице са додатним командама.

С обзиром на то да се МИТРЕ Цалдера широко користи за пенетрационе тестове и емулацију нападача овај безбједносни пропуст представља значајан ризик за организације које зависе од платформе за ред теаминг и безбједносну аутоматизацију.

Објављивање прооф-оф-цонцепт (ПоЦ) кода значајно повећава вјероватноћу стварне експлоатације ове рањивости. Извршавањем једноставне цурл команде нападачи могу искористити пропуст, покренути реверсе схелл и извести Пyтхон скрипту која им омогућава роот приступ.

Забрињавајуће је и то да се ЦВЕ-2025-27364 може комбиновати са ЦВЕ-2024-34331 – старијом, неријешеном рањивошћу у Параллелс Десктоп софтверу која омогућава локалну ескалацију привилегија на мацОС системима. Искоришћавањем оба пропуста, нападачи могу преузети потпуну контролу над циљаним системом, омогућавајући неовлашћен приступ, крађу података и угрожавање мреже.

Да би се правовремено спријечили напади који користе ЦВЕ-2025-27364 стручњаци препоручују следеће заштитне мјере:

• Ажурирање МИТРЕ Цалдера платформе - препоручује се хитно ажурирање на верзију 5.1.0 или новију и преузимање најновије верзије из Мастер бранцха.
• Ограничавање приступа Цалдера АПИ-ју – користити сегментацију мреже и строге контролне механизме како би могућност експлоатације била умањена.
• Пратити необичне активности – константно надгледати необичне компајлације агената или активности АПИ-ја како бисте на вријеме открили могуће нападе.

Закључак

ЦВЕ-2025-27364 је изузетно опасна рањивост која може довести до потпуног компромитовања система и омогућити нападачима неовлашћен приступ, крађу података и даљу експанзију унутар мреже. Обзиром на то да ПоЦ експлоатација већ постоји, хитно ажурирање МИТРЕ Цалдера софтвера и примјена препоручених мјера заштите су кључни кораци у спречавању потенцијалних напада.

Извор: https://socprime.com/blog/cve-2025-27364-rce-vulnerability-in-mitre-caldera/