Halihazırda bulut güvenliği uygulamaları açısından inceleme altında olan Microsoft, yakın zamanda yazılım devinin yönetilen büyük veri analitiği hizmeti olan Azure HDInsight’taki çeşitli Apache hizmetlerinde sekiz kadar ciddi güvenlik açığını yamaladı.
Kusurları bulan Orca Security araştırmacılarına göre, kusurları bulmak için harcanan nispeten az çaba, hizmetin genel güvenliğiyle ilgili soruları gündeme getiriyor.
Keşfedilen tüm güvenlik açıkları, veriler ve kullanıcı gizliliği açısından önemli bir risk oluşturan siteler arası komut dosyası çalıştırma (XSS) sorunlarıydı. Güvenlik sağlayıcısı, bir saldırganın Web oturumlarını ele geçirmek ve kullanıcı verilerini riske atmak için bu güvenlik açıklarından yararlanabileceğini söyledi.
Orca Security bulut güvenlik araştırmacısı Lidor Ben Shitrit, “Bu XSS güvenlik açıklarından herhangi biriyle, bir saldırgan Hadoop, Spark ve Oozie gibi ilgili Apache hizmetinin şüphelenmeyen herhangi bir kullanıcısına kötü amaçlı bir yük sunmuş olabilir” diyor.
Microsoft, ağustos ayı aylık güvenlik güncellemesinde kusurları düzeltti. Ancak kuruluşların düzeltmeleri uygulamak için yine de Azure HDInsight örneklerini güncellemeleri gerekir. “HDInsight yerinde yükseltmeleri desteklemiyor, bu nedenle kullanıcıların istenen bileşenle ve güvenlik güncelleştirmelerini içeren en son platform sürümüyle yeni bir küme oluşturması gerekiyor.” Ben Shitrit diyor. Daha sonra, yeni kümeyi kullanmak için uygulamalarını taşımaları gerekecek.”
Azure HDInsight bir tam olarak yönetilen, bulutta yerel açık kaynak analiz hizmeti Kuruluşların Hadoop, Apache Spark, Apache Kafka ve Azure ortamındaki diğer çerçevelere yönelik kümeleri yönetmek için kullandıkları. Teknoloji, kuruluşların büyük veri iş yüklerini gerektiği gibi yukarı veya aşağı ölçeklendirmelerine ve talep üzerine kümeler oluşturmalarına olanak tanır. Ayrıca yöneticilerin kümelerini tek bir arayüz aracılığıyla izleyebilmeleri için Azure Monitör günlük kaydı özelliğiyle de entegre olur.
Saklanan ve Yansıtılan XSS Kusurları
XSS güvenlik açıklarından altısı Orca keşfedildi Azure HDInsight’taki çeşitli Apache hizmetlerinde bulunan hatalara depolanmış XSS kusurları adı verilir ve diğer ikisi yansıtılan XSS güvenlik açıklarıdır. Siteler arası komut dosyası çalıştırma Kusurlar temel olarak bir Web uygulaması veya sitenin kullanıcı girişini (örneğin yorumlar) kabul etmesi ve ardından verileri doğru şekilde doğrulamadan veya önce verileri temizlemeden bir web sayfasında görüntülemesiyle ortaya çıkar. Bu kusurlar, saldırganlara bir web sitesine kötü amaçlı kod yerleştirme fırsatı veriyor ve bu kod, siteyi ziyaret ettiklerinde kurbanın tarayıcısında çalıştırılıyor.
Saklanan bir XSS hatasıyla, kötü amaçlı komut dosyası hedef Web sunucusunda kalıcı olarak depolanır ve kullanıcı sayfayı her ziyaret ettiğinde çalıştırılır. Öte yandan yansıtılan bir XSS kusuru, bir saldırganın site URL’sine, kullanıcı o URL’ye giden bir bağlantıyı tıkladığında hemen çalıştırılan kötü amaçlı kod yerleştirmesine olanak tanır. XSS kusurları, Açık Web Uygulama Güvenliği Projesi’nin (OWASP) yaygın güvenlik açıkları listesinde yıllardır sürekli olarak yer alıyor.
Ben Shitrit, Orca’nın Azure HDInsight’ta keşfettiği ilk XSS kusurunun Apache Ambari adlı Hadoop küme yönetimi teknolojisinde olduğunu söylüyor. Orca araştırmacıları, bunların teknolojide nispeten basit bir şekilde değiştirilebilecek çoklu varsayılan parametreler olduğunu keşfettiler. Ne kadar kolay olduğuna şaşırdılar ve daha fazlasını bulabilecekler mi diye etraflarına baktılar.
Azure Hataları, Bulması Kolay
Ben Shitrit, “Özetle, Apache Ambari Arka Plan Operasyonlarında bulduğumuz ilk XSS güvenlik açığı şaşırtıcı derecede basitti” diyor. “Bu bilgiyle donanmış olarak, daha derine inersek muhtemelen daha fazlasını bulacağımızı biliyorduk ve bu şekilde yedi tane daha bulduk.” Orca’nın Apache Hizmetleri aracılığıyla Azure HDInsight’ta sekiz XSS güvenlik açığını birkaç gün içinde ortaya çıkarabilmesinin, hizmetin genel güvenliğinin sorgulanmasına yol açtığını söylüyor.
Microsoft’un bulut güvenlik hizmetlerinin ve diğer bulut sağlayıcılarının güvenliğine ilişkin endişeler son aylarda artıyor. İç Güvenlik Bakanlığı bu ayın başında bulut bilgi işlem ortamlarının güvenliğine ilişkin, en azından kısmen Microsoft’un bulut hizmetinin daha önce ihlal edilmesiyle tetiklenen ve Çinli bir tehdit grubunun 25 kuruluşun ağlarına erişmesine olanak tanıyan bir soruşturma başlattı.
Microsoft, kusurların her biri için CVE’ler yayınladı ve bunları “önemli” önem derecesine sahip olarak değerlendirdi; bu, “kritik”ten bir adım daha düşük bir tanımdır. Şirket, kusurların her birini, bir saldırganın yalnızca belirli düzeyde kullanıcı etkileşimi ile yararlanabileceği sorunlar olarak tanımladı. Microsoft, “Bir saldırganın kurbana, kurbanın yürütmesi gereken kötü amaçlı bir dosya göndermesi gerekir” dedi ve saldırganın kusurlardan yararlanabilmesi için yönetici düzeyinde ayrıcalıklara sahip olması gerektiğini ekledi.
Ben Shitrit, Microsoft’un teknoloji yamalarını her zaman uygulamak dışında kuruluşların Azure HDInsight’ı daha güvenli hale getirmek için yapabileceği çok fazla bir şey olmadığını söylüyor.
“Ancak İçerik Güvenliği Politikası (CSP) uygulamak, giriş doğrulama ve çıktı kodlaması yapmak ve en az ayrıcalık ilkesine bağlı kalmak gibi en iyi güvenlik uygulamalarını takip ederek genel olarak XSS açıklarına maruz kalma durumlarını azaltabilirler.” diyor.