Giriş
Yeni bir varlık kamuya açık bir IP adresi aldığında, saldırganlar için bir zaman sayacı başlamış olur. Bu durum, güvenlik açıklarının keşfi ve hedeflenmesi konusunda hayati öneme sahiptir; zira “bu yeni hizmet yayınlandı” ile “bu hizmeti aktif olarak araştırıyoruz” arasındaki süre dakikalarla sınırlıdır.
Saldırı Nasıl Çalışıyor?
Yeni bir varlık yayına alındıktan sonra yaşanan süreç şu şekildedir:
T+0: Varlık yayınlanır.
Bir geliştirici yeni bir bulut örneği tanıtır, yanlış yapılandırılmış bir güvenlik duvarı kuralı bir portu açar veya bir sağlayıcı portalı etiketlenmemiş bir alt alan adı üzerinde aktif hale getirir. Sonuç olarak, yeni bir internet yönlendirmeye uygun uç nokta oluşturulur ve güvenlik ekipleri bu durumu fark etmez.
T+5 ile T+60 dakika: Tarayıcılar bulur.
Otomatik tarama altyapısı, genel interneti sürekli olarak tarar. Shodan, Censys, ShadowServer gibi araçlar, yeni hostları sürekli olarak dizine ekler. Bir saat içinde, varlığınızın açık portları ve bilgi bantları (web sunucusu versiyonu, TLS sertifikası, SSH parmak izi) kaydedilir.
T+1 ile T+6 saat: Enumerasyon başlar.
Bu aşamada varlık, Shodan ve Censys sorgularında görünebilir hale gelir. Otomatik saldırı araçları yönetim portlarını (RDP – 3389, SSH – 22, yönetim panelleri – 8080/8443) ve TLS sertifikalarını araştırmaya başlar.
T+6 ile T+12 saat: Aktif probalama.
Pasif keşif aktif hedeflemeye dönüşür. GreyNoise verileri, bu süre zarfında tarayıcı aktivitelerinin arttığını gösterir. SSH ve RDP’ye karşı kimlik bilgisi doldurma saldırıları başlar. Web hizmetleri, dizinleri otomatik olarak taramaya tabi tutulur.
T+12 ile T+24 saat: Ele geçirme.
Unit 42 araştırmacıları, bulut sağlayıcılar arasında 320 süzgeç yerleştirerek ne olacağını görmek istemiştir. Yüzde 80, 24 saat içinde ele geçirildi. Kısacası, saldırganlar için kritik önemde açık noktalar söz konusudur.
Etkilenen Sistemler
Yeni varlıkların güvenlik açıkları genellikle önceden belirlenmiş hizmetler dir. Aşağıdaki durumlar, sistemlerinizi tehlikeye atabilir:
- Yanlış yapılandırılmış güvenlik duvarları
- Varsayılan kimlik bilgileri ile hizmetler
- Görünürlüğü olmayan API’ler
Çözüm ve Korunma
Saldırıları önlemek için aşağıdaki adımları atmalısınız:
- Paket güncellemeleri yapın ve en son sürümleri kullanın.
- Güvenlik duvarı kurallarını gözden geçirin ve açık portları sadece ihtiyaç duyulduğunda aktif hale getirin.
- Gizli olabilecek hizmetleri izleme ve denetleme altında tutun.
Sonuç
Güvenlik açıklarına karşı koruma sağlamak için, varlıklarınızı düzenli olarak tarayıp güncelleyerek dış dünyadan gelen tehdidi kontrol altına almanız gerekmektedir. Kullanmadığınız portları kapatın, gereksiz hizmetleri devre dışı bırakın ve mümkünse sürekli izleme çözümleri ile görünürlük sağlayın. Unutmayın, saldırganlar sizi bulmadan önce önlem almak her zaman en iyi savunmadır.
