Giriş
Son dönemlerde, siber güvenlik tehditlerinin ne denli yaygınlaştığı, kuruluşların saldırı yüzeylerinin sürekli bir tehdit altında olduğunu gözler önüne seriyor. Özellikle MongoBleed gibi yeni ortaya çıkan güvenlik açıkları, internet üzerinden erişilebilen sistemlerin ne kadar savunmasız olduğunu gösteriyor.
Saldırı Nasıl Çalışıyor?
Saldırılar genellikle sıfır gün açıkları ile başlamaz; bir yönetici panelinin açığı olup, brute force saldırıları veya daha önce ele geçirilen kimlik bilgileri kullanılabilir. Örneğin, MongoBleed açıkları, saldırganların kimlik bilgileri ve oturum belirteçlerini, kimlik doğrulama gerekmeksizin sunucu belleğinden çekmesine olanak sağlamaktadır. Zamanla istismar süresi artık bir güne düştüğü için, öncelikle hizmetin neden açık olduğu sorusu önem kazanıyor.
Etkilenen Sistemler
Intruder’ın yaptığı bir analizde 3,000 saldırı yüzeyi incelenerek tipik bir kuruluşun saldırı yüzeyinin hangi tür hizmetlerle dolu olduğu tespit edilmiştir. İlgili bulgular dört ana kategoriye ayrılmıştır:
- HTTP panelleri
- Riskli portlar ve hizmetler
- Veritabanları
- Halka açık dosyalar ve bilgiler
Problemin Yaygınlığı
Yapılan araştırmalar, kuruluşların saldırı yüzeylerinde yaygın olarak karşılaşılan durumları ortaya koymuştur:
- 60% oranında kuruluş, en az bir HTTP paneli açığa sahip — yönetim konsolları, yönetim arayüzleri, hiç olmaması gereken iç araçların giriş sayfaları.
- Yaklaşık %49 oranında kuruluş, riskli bir port veya hizmet açığına sahip.
- %42 oranında kuruluş, doğrudan internete erişilebilen bir veritabanına sahip.
- %30 oranında kuruluş, halka açık olmasının gereksiz olduğu dosyalar veya bilgilere sahip — API belgeleri, yapılandırma dosyaları gibi.
En Yaygın Maruz Kalma Türleri
Son 12 ay içinde kurumları etkileyen en yaygın saldırı yüzeyi açıkları şunlardır:
- MySQL Veritabanı Açığı — %26
- Postgres Veritabanı Açığı — %16
- API Belgeleri Açık — %15
- WordPress Yönetim Paneli Açık — %15
- Uzaktan Masaüstü Hizmeti Açık — %11
- SNMP Servisi Açık — %9
- phpMyAdmin Yönetim Paneli Açık — %8
- UPnP Servisi Açık — %8
- NTP Servisi Açık — %7
- RPC Portmapper Servisi Açık — %7
Veritabanlarının Önemi
Açık veritabanları, en sık hedef alınan noktalar arasında yer alıyor. Örneğin, PLEASE_READ_ME fidye yazılımı kampanyası , 2020 yılında 250,000’den fazla MySQL veritabanını ele geçirmiştir.
API Belgeleri ve RDP Açıkları
API belgeleri, bazen görünür durumda olabiliyor ve bu da saldırı yollarının ortaya çıkmasına yol açıyor. Uzaktan masaüstü protokolü (RDP) de, yıllardır fidye yazılımı saldırılarının ilk erişim noktası olarak biliniyor.
Çözüm ve Korunma
Kuruluşlar genellikle yamanmayı öncelik olarak ele alıyor. Ancak, veritabanları, yönetim panelleri ve eski hizmetler hakkında asıl soru, onların neden erişilebilir olduğudur. Burada saldırı yüzeyinin azaltılması , kuruluşların siber güvenlik stratejilerinde daha fazla öncelik gerektiriyor.
Sonuç
Kuruluşların güncellemeleri hızlı bir şekilde yapması, açığın hemen tespit edilmesi kadar önemlidir. Erişim noktalarının kapatılması ve gereksiz servislerin devre dışı bırakılması, saldırı riskini önemli ölçüde azaltabilir. Bu nedenle, işletmenizin güvenlik açıklarını minimize etmek için hemen harekete geçin ve gerekli güncellemeleri yapın.
