Akademik konferansların, kurumsal etkinliklerin ve araştırma kuruluşlarının güvendiği Indico platformunda, bir saldırganın tek bir LaTeX komutuyla sunucu dosyalarını okuyabileceği ya da sistem üzerinde kod çalıştırabileceği kritik bir zafiyet keşfedildi. CVE-2026-33046 olarak kayıt altına alınan bu açık, CVSS 8.8 (Yüksek) skoruyla sıradan bir yazılım hatası kategorisine girmiyor. Peki kurumunuzda Indico çalışıyorsa — ya da LaTeX oluşturmayı etkinleştirdiyseniz — bu satırları okumayı bırakmamanız gerekiyor.
Indico Nedir ve Kimler Kullanıyor?
Indico, CERN tarafından geliştirilen ve açık kaynaklı olarak dağıtılan bir etkinlik yönetim sistemidir. Konferans programı, soyut (abstract) kabul süreçleri, kayıt formları ve belge oluşturma gibi işlemleri tek çatı altında toplar. Özellikle üniversiteler, araştırma merkezleri ve uluslararası kuruluşlar bu platformu yoğun biçimde tercih eder. Flask tabanlı bir Python uygulaması olan Indico, kimlik doğrulama için Flask-Multipass adlı çok arka uçlu bir sisteme dayanır.
Şunu net söyleyeyim: Indico bir niş ürün gibi görünse de kurumsal düzeyde konuşlandırıldığında — yani sunucu tarafında LaTeX oluşturma etkinleştirildiğinde — saldırı yüzeyi son derece ciddileşiyor. Konferans katılımcı sertifikası üretmek için yazdırdığınız o PDF, arka planda bir güvenlik açığı kapısı olabilir.
⚠️ Zafiyet Nasıl Çalışıyor?
CVE-2026-33046’nın özü şu: Indico, kullanıcı tarafından sağlanan LaTeX içeriğini sunucu tarafında XeLaTeX motoru ile işliyor. Bu süreçte zararlı girdileri engellemek için bir temizleme (sanitizer) mekanizması mevcut. Ancak TeXLive ekosistemindeki bazı belirsiz LaTeX sözdizimi yapıları bu temizleyiciyi atlatmaya izin veriyor.
Sonuç? Özel olarak hazırlanmış bir LaTeX parçacığı (snippet) aşağıdakileri yapabilir:
- Yerel dosya okuma (Local File Read / LFI): Sunucudaki
/etc/passwd, uygulama yapılandırma dosyaları, veritabanı kimlik bilgileri gibi hassas dosyalar okunabilir. - Uzaktan kod çalıştırma (Remote Code Execution — RCE): Indico’yu çalıştıran sistem kullanıcısının yetkileriyle sunucuda komut yürütülebilir.
Bu iki senaryo birleşince ne elde ediyorsunuz? Uygulama katmanı ele geçirilmiş, kimlik bilgileri çalınmış ve potansiyel olarak yanal hareket (lateral movement) kapısı aralanmış bir sistem. Akademik kurumlarda bu genellikle LDAP/Active Directory entegrasyonu anlamına gelir; yani tek bir zafiyet tüm ağa açılan kapı olabilir.
Teknik olarak şunu da vurgulamak isterim: Bu zafiyet yalnızca indico.conf dosyasında XELATEX_PATH ayarı yapılmışsa geçerli. Eğer bu ayar yoksa LaTeX oluşturma devre dışıdır ve saldırı yüzeyi bu açıdan oluşmuyor. Ama kurumların kaç tanesinin bu ayarı fark etmeden etkinleştirdiğini, hatta kimin etkinleştirdiğini bile bilmediğini düşününce tablo endişe verici.
MITRE ATT&CK Eşleşmesi
Bu zafiyeti MITRE ATT&CK çerçevesiyle değerlendirdiğimizde birden fazla teknik devreye giriyor:
- T1059 — Command and Scripting Interpreter: LaTeX motoru aracılığıyla sistem komutlarının yürütülmesi.
- T1083 — File and Directory Discovery: Yerel dosya okuma yoluyla sistem keşfi.
- T1552.001 — Credentials In Files: Yapılandırma dosyalarından kimlik bilgilerinin çalınması.
- T1190 — Exploit Public-Facing Application: Dışarıya açık Indico arayüzünün istismar edilmesi.
Saldırı zinciri perspektifinden bakıldığında bu, ilk erişim (initial access) ve keşif (discovery) aşamalarını tek hamlede kapayan bir zafiyet. Özellikle konferans kayıt formlarının internete açık olduğu ortamlarda kimlik doğrulama gerektirmeden istismar edilebileceği senaryolar da göz ardı edilmemeli.
🔧 Wazuh ile Tespit: Kural ve İzleme Yaklaşımı
Biz kurumda Wazuh ile bu tür uygulama katmanı saldırılarını izlerken iki temel yaklaşım kullanıyoruz: süreç izleme (process monitoring) ve dosya bütünlüğü izleme (FIM — File Integrity Monitoring). CVE-2026-33046 için önce XeLaTeX sürecinin beklenmedik biçimde tetiklenmesini, ardından hassas dosyalara erişim girişimlerini yakalamak gerekiyor.
Aşağıdaki Wazuh kuralı, xelatex sürecinin Indico servisi dışında bir ebeveyn işlem (parent process) altında çalışmasını veya beklenmedik dosya yollarına erişim sağlamasını tespit etmeye yardımcı olur:
syscheck
xelatex
CVE-2026-33046: xelatex süreci şüpheli bağlamda başlatıldı - LaTeX enjeksiyon girişimi olabilir
T1059
T1190
web_log
\/etc\/(passwd|shadow|indico\.conf|database\.conf)
CVE-2026-33046: Indico üzerinden kritik sistem dosyasına erişim girişimi tespit edildi
T1083
T1552.001
web_log
LaTeX.*error|xelatex.*fatal|\\input\{|\\include\{|\\write18
CVE-2026-33046: Indico LaTeX işleminde şüpheli komut paterni - enjeksiyon riski
T1059
Bunun yanı sıra Wazuh FIM ile indico.conf dosyasını izlemeye almanızı kesinlikle öneririm. XELATEX_PATH ayarının yetkisiz bir şekilde eklenmesi ya da değiştirilmesi anında uyarı üretmeli:
# /var/ossec/etc/ossec.conf içinde syscheck bloğuna ekleyin
/etc/indico/indico.conf
/opt/indico/etc/indico.conf
# Wazuh agent'ın Indico log dosyalarını takip etmesi için:
syslog
/var/log/indico/indico.log
syslog
/var/log/indico/celery.log
📊 İpucu: Indico’yu Docker veya Podman ile çalıştırıyorsanız, konteyner dışına yapılan her dosya erişimi girişimi zaten izolasyon katmanı tarafından engellenecek. Bu nedenle aşağıda anlattığım konteyner tavsiyesi hem teknik hem operasyonel açıdan en kritik adım.
🛡️ Ne Yapmalısınız? Acil Aksiyon Listesi
Bu zafiyeti ciddiye almanız gereken birkaç temel neden var. Akademik ve araştırma kurumlarında Indico sıkça tercih edilen bir platform; üstelik bu ortamlar genellikle güvenlik kadrosunun nispeten kısıtlı olduğu, yamalamanın gecikebildiği yapılar. İşte yapmanız gerekenler:
- Derhal Indico 3.3.12 sürümüne geçin. Bu, üretici tarafından önerilen birincil çözüm. Güncelleme öncesinde mevcut sürümünüzü
indico --versionkomutuyla kontrol edin. - Güncelleme yapamıyorsanız LaTeX işlevini devre dışı bırakın.
indico.confdosyasındaXELATEX_PATHsatırını kaldırın, yorum satırına alın ya daNoneolarak ayarlayın. Ardındanindico-uwsgiveindico-celeryservislerini yeniden başlatın. Bu geçici çözüm (workaround) LaTeX tabanlı PDF üretimini devre dışı bırakır; kabul edilebilir bir operasyonel maliyet. - Konteynerleştirilmiş LaTeX oluşturucusunu etkinleştirin. Üretici, Podman tabanlı izole LaTeX oluşturucusunu şiddetle tavsiye ediyor. Bu yaklaşım, LaTeX motorunu sistemin geri kalanından yalıtıyor ve istismar senaryosunu pratikte çok daha zor hale getiriyor. Konteynersiz çalıştırmak artık savunulamaz bir risk kararı.
- Wazuh FIM ile indico.conf dosyasını izlemeye alın. Yukarıdaki yapılandırma örneklerini uygulayın;
XELATEX_PATHayarının yetkisiz değişikliğine karşı gerçek zamanlı uyarı kurun. - Indico log dosyalarını merkezi SIEM’e aktarın.
indico-uwsgiveindico-celerylog akışlarını Wazuh veya kullandığınız SIEM’e yönlendirin. LaTeX hata mesajları ve beklenmedik süreç çağrıları geriye dönük analiz için kritik. - Servis hesabı yetkilerini gözden geçirin. Indico’yu çalıştıran sistem kullanıcısının (örneğin
indicoveyawww-data) sunucu üzerindeki yetkileri minimumda olmalı. En az yetki ilkesi (least privilege) bu açık özelinde hayat kurtarıcı olabilir; çünkü RCE gerçekleşse bile saldırganın erişim kapsamı kısıtlı kalır.
Güvenlik Perspektifinden Genel Değerlendirme
Bu zafiyet bana LaTeX’in özellikle kurumsal yazılım ekosistemlerinde nasıl “görünmez bir saldırı yüzeyi” oluşturduğunu bir kez daha hatırlattı. LaTeX, akademi dünyasında o kadar olağan görülen bir araç ki kimse onu bir tehdit vektörü olarak düşünmüyor. Oysa sunucu tarafında işlenen her kullanıcı girdisi — formatı ne olursa olsun — temizleme mekanizması atlatılabilir olduğu sürece bir risk barındırıyor.
Daha geniş bir çerçeveden bakarsak: Bu zafiyet, benzer mimari karar hataları içeren başka yazılım açıklarıyla yan yana değerlendirilebilir. Geçtiğimiz haftalarda incelediğimiz Blinko yetki yükseltme açığı ve Blinko MCP sunucu RCE zafiyeti benzer bir pattern gösteriyordu: Kullanıcı girdisinin sunucu tarafında güvenli biçimde yalıtılmadan işlenmesi. Temizleme mekanizmaları tek başına güvenilir bir savunma katmanı değil; yalıtım (sandboxing/containerization) bu tür açıklar için yapısal çözüm.
Son olarak şunu söyleyeyim: CVSS 8.8 skoru bu zafiyetin ciddiyetini sayısal olarak ifade ediyor, ancak gerçek risk bağlama göre çok daha yüksek olabilir. Indico’nun LDAP veya kurumsal kimlik doğrulama sistemleriyle entegre çalıştığı ortamlarda, bu açığı başlangıç noktası olarak kullanan bir saldırgan çok daha geniş bir alana sızabilir. Yama yapmak bir seçenek değil, zorunluluk.
Orijinal kaynak: https://nvd.nist.gov/vuln/detail/CVE-2026-33046
Bir Cevap Yazın