Google, araştırmacıların hassas verilere ve sırlara erişim elde etmek ve ayrıca potansiyel olarak müşteri ortamlarındakiler de dahil olmak üzere diğer bulut hizmetlerini ihlal etmek için ayrıcalıkları yükseltmek için kullandıkları Google Cloud Platform’un veritabanı hizmetindeki kritik bir kusuru düzeltti.
Dig Security’deki araştırmacılar, güvenlik açığını GCP’nin MySQL, PostgreSQL ve SQL Server dahil olmak üzere birkaç farklı veritabanı motorunu destekleyen CloudSQL hizmeti etrafındaki güvenlik katmanındaki bir boşluktan tespit etti. — çevrede kullanım için, ortaya çıkardılar bir blog yazısı 25 Mayıs’ta
Güvenlik açığı, başlangıç ayrıcalıklarını artırmalarına ve GCP’de bir yönetici rolü olan DbRootRole rolüne bir kullanıcı eklemelerine izin verdi, Dig Security’den Ofrir Balassiano ve Ofrir Shaty gönderide ortaya çıktı.
Oradan, ayrıcalıklarını daha da artırmak için roller-izinler mimarisindeki başka bir kritik yanlış yapılandırmadan yararlandılar ve sonunda kötü niyetli kullanıcıya SQL Server üzerinde tam denetim elde etmesi için bir sistem yöneticisi rolü verdiler. Bundan sonra, veritabanını barındıran işletim sistemine erişebildiler.
Araştırmacılar gönderide, “Bu noktada, ana işletim sistemindeki hassas dosyalara erişebilir, dosyaları ve hassas yolları listeleyebilir, şifreleri okuyabilir ve makineden sırları çıkarabiliriz.” “Ayrıca, ana bilgisayar, potansiyel olarak diğer ortamlara daha fazla yükseltmeye yol açabilecek temel hizmet aracılarına erişebilir.”
Güvenlik açığının bu ikinci yönü, kusurdan yararlanan bir saldırganın GCP’den yararlanan müşteri ortamlarındaki kaynaklara erişmesini sağlayabilirdi.
Şubat ayında kusuru keşfeden Dig Security, sorunu şirkete bildirmek için Google’ın güvenlik açığı ödül programını kullanarak koordineli ifşa uygulamalarını takip etti. Araştırmacılar, şirketlerin takip eden iki ay boyunca birlikte çalıştığını ve Google’ın Nisan ayında sorunları ele alıp çözdüğünü ve 25 Nisan’da Dig’i hata ödül programı aracılığıyla ödüllendirdiğini söyledi.
Google Cloud Platform’un SQL İzinlerinde Gezinme
Araştırmacılar, güvenlik açığından tam olarak yararlanmanın çok adımlı bir süreç olduğunu ve ilkinin GCP SQL Server’daki varsayılan izinlerle mümkün olduğunu açıkladı.
Bir kullanıcının GCP SQL Server’da alabileceği iki izin seviyesi vardır – sunucu düzeyinde olanlar ve veritabanı düzeyinde olanlar – kusurun nasıl çalıştığını anlamak için önemli bir nokta, dediler.
Araştırmacılar, sunucu izinlerinin bulut içinde örnek düzeyinde yapılan işlemleri içerdiğini, veritabanı izinlerinin ise veritabanı örneğinin kendisinde yapılan işlemleri içerdiğini açıkladı. Bunlar arasında, “KONTROL SUNUCUSU”, bir kullanıcıya örnek düzeyinde verilebilecek en güçlü izin iken, “KONTROL VERİTABANI”, bir kullanıcıya veri tabanı düzeyinde verilebilecek en güçlü izindir dediler.
SQL Server için varsayılan oturum açma, bir kullanıcıya sunucu düzeyinde herhangi bir şey yapmak için “create/alter” komutunun kullanılmasına izin vermeyen “CustomerDbRootRole” GCP rolü verir. Ayrıca sys nesneleri üzerinde hiçbir izni yoktur, bu da kullanıcının herhangi bir sistem veritabanında nesne oluşturamayacağı anlamına gelir, açıkladılar. Bu nedenle, saldırıyı tamamlamak için ayrıcalıklarını yükseltmeleri gerekiyordu.
SQL Server Kusurundan Yararlanma
Araştırmacılar, GCP içinde SQL Server için oluşturulan güvenlik katmanında, başlangıçtaki varsayılan ayrıcalıklarını artırmalarına ve oluşturdukları kullanıcıyı bir GCP yönetici rolü olan DbRootRole rolüne eklemelerine izin veren bir boşluk belirlediler, gönderide açıkladılar.
Araştırmacılar bu rolü üstlendikten sonra, daha önce yapamadıkları birçok görevi yerine getirebilirler; ancak sysadmin rolü olmadığı için SQL Server’da hala tam izinlere sahip olmadıklarını söylediler.
Sonunda, bulut ortamlarında yaygın olarak görülen bir sorun olan kritik bir hatalı yapılandırmayı kullanarak başarıya giden bir yol keşfettiler. — kullanıcıya SQL Server üzerinde tam kontrole izin veren bir sysadmin rolü vererek ayrıcalıkları daha da yükseltmelerine izin veren roller-izinler mimarisinde dediler. Araştırmacılar, veritabanını barındıran işletim sistemine ve tüm hassas dosyalarına, şifrelerine, sırlarına ve diğer önemli verilerine tam erişim sağlayan şeyin bu olduğunu söyledi.
Ayrıca, ana bilgisayarın müşteri ortamlarındaki kaynaklara bağlanan hizmet aracılarına erişimi vardır ve araştırmacılar, kendi ortamlarında sistem çalıştırmak için GCP kullanan işletmeleri riske atar.
Gönderide, “Sırlar, URL’ler ve parolalar gibi dahili verilere erişim elde etmek, bulut sağlayıcılarının verilerinin ve müşterilerin hassas verilerinin açığa çıkmasına neden olabilir, bu da büyük bir güvenlik olayıdır” diye yazdılar.
Araştırmacılar, işletim sistemine erişimlerini kullanarak Docker görüntü deposuyla ilgili dahili Google URL’lerini keşfettiklerini ve bu URL’lerin Google’ın kendi iyileştirmesinde düzelttiği dahili depoya erişmelerine izin verdiğini söylediler.
Bulut Siber Güvenlik Riskini Azaltma
Bulut yanlış yapılandırmaları, bulut güvenliğindeki açıkların hâlâ yaygın nedenleridir ve müşteriler için risk oluşturur. Balassiano, Dark Reading’e Dig araştırmacılarının bulduğu kusur durumunda, Google Cloud’u güvenliğini sağlamayı karmaşık hale getiren sorunlardan biri, SQL Server’ın açık kaynak olmaması, yani bunun etrafında bir güvenlik katmanı oluşturulması gerektiği anlamına geliyor.
Gerçekten de, bulut ortamlarında daha fazla veri depolandığından, kuruluşların, sağlayıcının ortamında bir kusur olsa bile kendilerini korumak için bulut sağlayıcılarının sunduklarından bağımsız olarak veri güvenliği kontrolleri uygulaması gerektiğini söylüyor.
Balassiano, “Birleşik bir DSPM (veri güvenliği duruş yönetimi) ve DDR (veri algılama ve yanıtlama) sunan veri güvenliği platformları, kötü aktörlerin hızlı bir yanıt olmadan verileri dışarı sızdırma şansını azaltabilir” diyor.
Ekibin bulduğuna benzer bir kusurdan yararlanma olasılığını önlemek için kuruluşlar, en hassas verilerini bulan ve korunmasını sağlayan bir DSPM çözümünden faydalanabilir, diyor. Bu, bir ihlal olsa bile verilerin şifrelendiği ve ifşanın kontrol altına alındığı anlamına gelir.
Balassiano, “İhlalin önüne geçmek için, gerçek zamanlı algılama ve yanıt sağlayarak verilerin kötüye kullanılmasını ve veri hırsızlığını önleyen DDR’yi de uygulamalılar” diye ekliyor.