Giriş
Saldırganlar, siber güvenlik eğitimi ve iç penetrasyon testleri için kullanılan yanlış yapılandırılmış web uygulamalarını hedef alarak, Fortune 500 şirketleri ve güvenlik satıcılarının bulut ortamlarına erişim sağlıyor. Bu durum, kritik sistemlerin güvenliğini tehlikeye atarak büyük bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, DVWA , OWASP Juice Shop , Hackazon ve bWAPP gibi güvenlik test uygulamalarındaki açıkları kullanarak bulut ortamlarına erişim sağlıyor. Pentera’nın yaptığı araştırmaya göre, bu uygulamalar genellikle aşırı yetkilendirilmiş IAM (Identity and Access Management) rolleriyle ilişkilendiriliyor ve AWS , GCP ve Azure bulut ortamlarında barındırılıyor. Araştırmacılar, 1,926 canlı ve başka bir şekilde yapılandırılmış uygulama tespit etti.
Etkilenen Sistemler
Pentera’nın bulgularına göre, bu uygulamalar birkaç Fortune 500 şirketine ait olup, Cloudflare , F5 , ve Palo Alto Networks gibi firmalar da bu sorunları çözmek için gerekli adımları atmış durumda. Ancak, birçok durumda sistemler hala varsayılan şifreleri kullanıyor ve bulut kimlik bilgileri sızdırılmış durumda, bu da saldırganlara S3 buckets , GCS ve Azure Blob Storage gibi kaynaklara tam erişim sağlıyor.
Aktif İstismar Durumu
Pentera Lab’dan gelen raporda, bu riskin varsayımsal olmadığı belirtiliyor. Araştırmalar esnasında, saldırganların bu saldırı vektörlerini aktif olarak kullandığını, kripto madenciliği , webshell yerleştirmeleri ve sistemlerde kalıcılık mekanizmaları oluşturdukları tespit edildi. Özellikle, DVWA uygulamalarından 616 tanesi incelendiğinde, %20’sinin kötü niyetli aktörler tarafından ele geçirildiği belirlendi.
Çözüm ve Korunma
Araştırmacılar, kuruluşların tüm bulut kaynakları ve test uygulamalarının envanterini tutmalarını ve bunları üretim ortamlarından izole etmelerini tavsiye ediyor. Ayrıca:
- Varsayılan kimlik bilgilerini değiştirin.
- En az ayrıcalık ilkesini uygulayın ve non-prodüksiyon sistemler için IAM rolleri ayarlayın.
- Geçici kaynaklar için otomatik süre sonu ayarları oluşturun.
Sonuç olarak, ilgili kuruluşların bulut ortamlarını daha güvenli hale getirmek ve potansiyel tehditlere karşı korunmak için bu adımları derhal uygulamaları gerektiği vurgulanmaktadır.
