Son yapılan bir araştırma, 1.000’den fazla kurumsal ServiceNow örneğinin, Bilgi Tabanları (KB) aracılığıyla hassas kurumsal verileri istemeden ifşa ettiğini ve etkilenen kuruluşlar için önemli güvenlik riskleri oluşturduğunu ortaya koydu.
AppOmni’nin geçen yıl yaptığı araştırma, test edilen toplam kurumsal örneklerin yaklaşık %45’inin yanlış yapılandırılmış KB erişim kontrollerine sahip olduğunu ve bunun da Kişisel Tanımlayıcı Bilgiler (PII), dahili sistem ayrıntıları ve etkin kimlik bilgileri veya belirteçler gibi hassas verilerin canlı üretim sistemlerine ifşa edilmesine yol açtığını tespit etti.
Birden fazla ServiceNow örneğine sahip kuruluşlar, her örnekte KB erişim denetimlerini sürekli olarak yanlış yapılandırıyordu; bu durum, sistematik bir yanlış anlaşılmaya veya zayıf denetimlerin yanlışlıkla çoğaltılmasına işaret ediyordu.
Bu güvenlik açığının temel nedeni, Erişim Kontrol Listeleri (ACL’ler) yerine KB’leri güvence altına almak için kullanılan Kullanıcı Kriterlerinin karmaşık yapısından kaynaklanmaktadır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Son zamanlarda ‘UserIsAuthenticated’ Güvenlik Niteliği ile geliştirilen ACL’lerin aksine, Kullanıcı Kriterleri bu ek güvenlik katmanından faydalanmaz.
AppOmni’den Aaron Costello, “Temel neden (yanlış yapılandırılmış ACL’ler), kullanıma hazır (OOB) ACL’lere varsayılan olarak bir güvenlik özelliğinin eklenmesiyle hafifletildi; veri ifşa yolları (genel araçlar) ise araçların sorgulayabileceği verileri kısıtlayan sistem özelliklerinin eklenmesiyle hafifletildi” dedi.
Ayrıca, birçok yönetici, ‘Herhangi bir Kullanıcı’ ve ‘kb için herhangi bir kullanıcı’ gibi belirli Kullanıcı Kriterlerinin, kimliği doğrulanmamış kullanıcılara erişim izni vererek istenmeyen veri ifşasına yol açtığının farkında değildir.
Çalışmada ayrıca Orlando sürümünden önce oluşturulan birçok kurumsal örneğin KB’ler için hala güvenli olmayan ‘varsayılan olarak genel erişime izin ver’ değerini koruduğu vurgulandı.
Bu durum, birden fazla sistem özelliği arasındaki karmaşık ilişki ve bunların erişimi nasıl etkilediğiyle bir araya geldiğinde, veri ihlalleri için mükemmel bir fırtına yaratmış oluyor.
Kimliği doğrulanmamış kötü niyetli bir aktörün güvenli olmayan bir KB makalesine ne kadar kolay erişebileceğini göstermek için araştırmacı, Burp Suite gibi bir HTTP proxy’si kullanarak bir kavram kanıtı sağladı.
Bu yöntem, makale kimliklerinin kaba kuvvetle ele geçirilmesine olanak tanır ve ifşa edilen makalelerin hızla tespit edilip erişilmesini mümkün kılar.
Bu bulgular ışığında, kuruluşlar KB’lerini güvence altına almak için derhal harekete geçmeye çağrılmaktadır. Buna, ilgili güvenlik özelliklerinin farkında olmak, varsayılan olarak kimliği doğrulanmamış erişimi önlemek için kullanıma hazır İş Kurallarını etkinleştirmek ve ServiceNow’ın yerleşik araçlarını kullanarak KB erişim denetimlerinde rutin olarak tanılama çalıştırmak dahildir.
Bu güvenlik açıklarını gidererek kuruluşlar veri ihlali riskini önemli ölçüde azaltabilir ve kritik varlıklarını koruyabilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial