Shadow IT: Görünmeyen Tehditlere Dikkat
Shadow IT, güvenlik ekiplerinin bilmediği sistemler, siber güvenlik alanında sürekli bir zorluk oluşturmaktadır. Politikalar bu tür sistemleri yasaklayabilir, ancak kontrol edilmeyen varlıklar mutlaka sızmayı başarır. Eğer savunucular bu varlıkları ilk önce tespit edemezse, saldırganların bu fırsatları değerlendirme riski her zaman mevcuttur.
Son günlerde Intruder’ın güvenlik ekibi, Shadow IT açığa çıkarmak için birkaç gerçek dünya örneği buldu: güvensiz yedeklemeler, açık Git depoları, kimlik doğrulaması gerektirmeyen yönetici panelleri gibi durumlar. Bu örneklerin her biri, yüksek hassasiyete sahip veriler veya gizli bilgiler içeriyordu ve hiçbirisi gelişmiş bir istismar gerektirmiyordu.
Hedeflerin Bulunması
Görünmeyen Shadow IT varlıklarını tespit etmenin en etkili yollarından biri, subdomain enumeration yani alt alan adlarını sıralamaktır. Geliştiriciler yeni sistemler kurmak istediklerinde, bu sistemlere erişim sağlamak için genellikle bir alt alan adı oluşturmaktadırlar.
Biz de Certificate Transparency (CT) kayıtlarını kullandık. Bu, verilen TLS sertifikaları için kamuya açık bir defterdir. Yaygın anahtar kelimelerle (örneğin “git”, “yedek”, popüler yazılımların isimleri) yaptığımız sorgular neticesinde yaklaşık 30 milyon host tespit ettik.
Buradan itibaren, parmak izi alma teknikleri ve otomatik ekran görüntüsü alma kombinasyonuyla hangi hostların ilginç veya muhtemelen savunmasız olduğunu belirledik. Günler içerisinde, saldırganların yaygın bir şekilde istismar ettiği kritik zayıflıkları sergileyen bir dizi sistem listesine ulaştık.
Intruder, bilinmeyen varlıkları otomatik olarak tespit eder ve bunları saldırgandan önce açığa çıkarır; böylece gerçek riskleri hızla düzeltebilir ve güvenliği sağlayabilirsiniz.
Bulduklarımız (Sadece Birkaç Gün İçinde)
Zafiyet tarama işlemleri, eğer hangi sistemlerin açık olduğunu bilmiyorsanız etkisizdir. Saldırı yüzeyini yönetme çözümleri, Intruder gibi, ekiplerin gizli varlıkları otomatik olarak ortaya çıkarmasına ve ardından bunları zafiyetler için taramasına yardımcı olur.
Aşağıda belirtilen zafiyetler, kamuya açık sistemlerdeki gerçek açılardır.
Açık Yedeklemeler
Yedeklemeler, tespit edilmesi en kolay açılardan biriydi. Birçok yedekleme ile ilgili alt alan adı, dizin içeriğini açıkça listelemekte ve genellikle yedekleme arşivlerinin herkesin indirmesine açık olarak sunulmaktadır.
Küçük bir örnekle, aktif kimlik bilgileri ve web sitesi kaynak kodları ile birlikte tam veritabanı dökümleri bulduk. Bir durumda, arşivde hala geçerli olan FTP kimlik bilgilerini içeren hardcoded tokenlar bile vardı.
Bu tür bir açık, herhangi bir zafiyet tarayıcısı tarafından tespit edilmesi en basit olanıdır. Fakat eğer bu host Shadow IT ise ve asla zafiyet yönetim programınıza girmiyorsa, internetin ortasında görünmez kalmaya devam eder.
Kamuya Açık Git Depolarındaki Gizli Bilgiler
Güvensiz Git depoları, hassas verilerin başka bir yaygın kaynağıdır. Kimlik bilgileri ya da gizli dosyalar, aktif kod tabanından çıkarılmış olsa bile, uygun şekilde temizlenmedikçe Git geçmişinde sonsuza kadar kalır.
Birçok organizasyon, özel kodu kontrol etme amacıyla kendi Git sunucularını da barındırmaktadır. Bir durumda, bir LLM pazar yeri uygulamasının kaynak kodunu içeren açık bir Git sunucusu tespit ettik.
Bu depo tamamen açıktı ve kötü geliştirici hijyeni nedeniyle, Redis, MySQL, OpenAI gibi dış hizmetler için gizli anahtarlar içeriyordu. Bu tokenlar, test sırasında hala aktifti.
Bir kod deposunun internete açık bırakılması, basit bir hata olsa da ciddi sonuçlara yol açabilmektedir. Temel kural, bu tür açığı kendiniz tespit etmek ve bir başkası tespit etmeden önce önlem almaktır.
Kilidi Olmayan Yönetim Panelleri
Açık yönetim panelleri, sürekli bir sorun olmaya devam etmektedir. Giriş sayfasıyla korunsa bile, yönetici arayüzünün doğrudan internet üzerinde bulunması saldırı yüzeyini genişletmektedir. Ancak bazı durumlarda, hiç kimlik doğrulaması gerektiren paneller de bulduk.
“Elasticsearch” ve “loglama” gibi terimleri taradığımızda, çevrimiçi olarak erişime açık bir dizi loglama ve izleme sistemi tespit ettik. Çoğu kimlik bilgileri gerektiriyor olsa da, bazılarında hiç koruma yoktu ve bazıları o kadar uzun süre açık kalmıştı ki, saldırgan aktivitesinin kanıtları, ransom notları gibi, doğrudan Elasticsearch örneklerinde bulunmaktaydı.
Bu sistemler üzerinden erişilebilen veriler, son derece hassas nitelikteydi: altyapı logları, gizli bilgiler, uygulama verileri (kullanıcı tarafından oluşturulan içerik de dahil) ve hatta chatbot mesajları. Kimlik doğrulama istemeden açık kalan bu paneller, saldırganların ağda daha derinlere inebilmek için aradığı detayları ortaya dökmekteydi.
Büyük Ölçekte Yaygın Yanlış Yapılandırma
Alt alan adı sıralaması, yaygın bir yanlış yapılandırma durumunu da ortaya çıkardı. Bir hosting sağlayıcısını incelerken, aynı zafiyeti taşıyan yaklaşık 100 müşteri alan adını tespit ettik: uygulama kaynak kodu, kullanıcı dosyaları ve veritabanı kopyaları içeren erişime açık yedek dosyaları.
Bireysel olarak bakıldığında, her alan adı tek bir gözden kaçma gibi görünüyordu. Ancak sıralama yapıldığında, tüm müşteri tabanında tekrarlanan sistematik bir sorunun olduğuna dair bir şablon belirginleşti.
Bir adım geri atarak bağlantıları birleştirdiğimizde, açığın tam kapsamını görebildik ve durumu sağlayıcıya rapor edebildik.
Saldırı Yüzeyiniz İçin Ne Anlama Geliyor?
Shadow IT, görünmeyen riskler yaratıyor olabilir, ancak bunların saklı kalmasına gerek yok. Savunucular, zayıflıkları istismar edilmeden tespit edebilir:
- Yeni sistemleri, saldırganlar bunu yapmadan önce yakalamak için sürekli alt alan adlarını sıralayarak,
- Yeni keşfedilen varlıkları, zafiyet yönetim programına dahil ederek böylece hiçbir şeyin gözden kaçmamasını sağlayarak.
Intruder, bilinmeyen varlıkları otomatik olarak keşfeder ve bunları açığa çıkarır. Böylece hızlı bir şekilde harekete geçebilirsiniz.
