Giriş
Bulut ortamlarında eğitim amaçlı olarak kullanılan zafiyetli uygulamaların, kötü niyetli saldırılara açık hale gelmesi siber güvenlik açısından büyük bir tehdit oluşturmaktadır. Pentera Labs’ın gerçekleştirdiği inceleme, bu uygulamaların yanlış yapılandırmalara ve aşırı haklara sahip bulut kimliklerine maruz kalmasının kritik sonuçlar doğurduğunu ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
Eğitim ve demo uygulamaları genellikle güvenli bir öğrenme ortamı sunması amacıyla tasarlanmış olsalar da, kullanım şekilleri ve dağıtım yöntemleri güvenlik açıklarına neden olabilmektedir. Pentera Labs’ın araştırmalarında tespit edilen dağıtım kalıpları şunlardır:
- Varsayılan yapılandırmalarla dağıtım.
- Minimum izolasyon sağlanması.
- Aşırı yetkilendirilmiş bulut rolleri.
Bu uygulamalar, genellikle aktif bulut hesapları içinde, kamuya açık internet üzerinde erişilebilir durumda bulundukları için saldırganlar, bir kez bu zafiyetli uygulamalara eriştiklerinde, bağlı olarak çalıştıkları bulut kimlikleri ve ayrıcalıklı roller üzerinden daha geniş bir alana yayılma imkanı bulabiliyorlar.
Etkilenen Sistemler
Pentera Labs, yaklaşık 2,000 canlı ve kamuya açık eğitim uygulama örneği üzerindeki araştırmalarında, bu uygulamaların %60’ının müşteri kontrolündeki altyapılar üzerinde çalıştığını ve genellikle AWS, Azure veya GCP’nin aktif hesaplarında yer aldığını tespit etti.
Bu durum, yerel veya izole test sistemleri ile sınırlı kalmayıp, aynı zamanda Fortune 500 şirketleri ve önde gelen siber güvenlik kuruluşları, örneğin Palo Alto, F5 ve Cloudflare gibi büyük firmaların bulut ortamlarında da görülmektedir.
Şu Anda Aktif Sömürü Kanıtları
Araştırma sırasında, tespit edilen açık eğitim ortamlarının sadece yanlış yapılandırılmamış olduğu, aynı zamanda bu açıkların kötü niyetli aktörler tarafından günlük hayatta aktif olarak sömürüldüğüne dair belirgin kanıtlar da gözlemlendi. İncelenen açık eğitim uygulamalarının yaklaşık %20’sinin kötü aktörler tarafından kullanılan kalıntıları içerdiği belirlendi. Bu kalıntılar arasında:
- Kripto madencilik faaliyetleri.
- Web shell’leri.
- Süreklilik mekanizmaları.
Bu durum, açık eğitim uygulamalarının sadece keşfedilebilir olmakla kalmayıp, aynı zamanda ölçekli bir şekilde istismar edildiğini göstermektedir.
Çözüm ve Korunma
Bu tür açıkların kritik önemi, genellikle düşük riskli veya geçici varlıklar olarak değerlendirilmelerinden kaynaklanmaktadır. Bu tür eğitim ortamları standart güvenlik izleme, erişim gözden geçirme ve yaşam döngüsü yönetimi süreçlerinden genellikle hariç tutulmaktadır. Bu nedenle, çoğu zaman hedeflenen amaçlarının sona ermesinden sonra da açık bir şekilde kalmaktadır.
Önlemek adına alınması önerilen önlemler:
- Tüm eğitim ve demo uygulamaları için güvenlik izleme süreçlerinin entegre edilmesi.
- Aşırı yetkilendirilmiş bulut rolleri ve kimliklerin gözden geçirilmesi.
- Açık uygulamaların düzenli olarak kapatılması veya izole bir ortamda tutulması.
Eğitim veya test ortamları etiketi taşısa bile, bu durumun ilgili riskleri azaltmadığını vurgulamak önemlidir.
Sonuç
Bulut tabanlı eğitim uygulamaları ile ilgili zafiyetlerin farkında olmak, hem bireylerin hem de organizasyonların siber güvenlik stratejilerinin kritik bir parçasıdır. Tüm eğitim ortamlarınızı güvence altına almak için düzenli güncellemeler, yanlış yapılandırmaları düzeltme ve ihtiyaç duyulmaması durumunda port kapatma gibi önlemler almanız gerekmektedir. Harekete geçin ve potansiyel tehditlere karşı koruma önlemleri alın!
