Her güvenlik açığı kendi başına yüksek riskli değildir – ancak gelişmiş bir saldırganın elinde, küçük zayıflıklar bile büyük ihlallere dönüşebilir. Intruder’ın böcek avı ekibi tarafından ortaya çıkan bu beş gerçek güvenlik açığı, saldırganların göz ardı edilen kusurları nasıl ciddi güvenlik olaylarına dönüştürdüğünü ortaya koyuyor.
1. AWS kimlik bilgilerini bir yönlendirme ile çalmak
Sunucu tarafı istek asmeri (SSRF), özellikle bulutla barındırılan uygulamalarda önemli bir etkisi olabilecek yaygın bir güvenlik açığıdır. Bir web uygulaması, kullanıcı tarafından sağlanan URL’lerden kaynakları getiriyorsa, saldırganların istenmeyen kaynaklara erişme isteklerini değiştirememesini sağlamak için dikkat edilmelidir.
AWS’de çalışan bir ev hareketi uygulamasını değerlendirirken, ekibimiz ortak SSRF bypass tekniklerini test etti.
Saldırı zinciri şöyleydi: Uygulama, AWS’nin meta veri hizmetine 302 yönlendirme ile yanıt veren saldırganın web sunucusuna bir webhook isteği gönderdi. Uygulama yönlendirmeyi izledi ve AWS kimlik bilgileri de dahil olmak üzere hassas meta verileri ortaya çıkaran yanıtı günlüğe kaydetti.
Bu kimlik bilgileriyle, bir saldırgan IAM izinlerini numaralandırabilir ve bulut ortamına daha derine dönmeye çalışabilir.
Meta veri hizmeti IMDSV2’yi zorluyorsa, bu saldırı mümkün olmazdı – iyi bir bulut güvenlik tarayıcısının işaretleyeceği en iyi uygulama. Otomatik araçlar tam saldırı zincirini tespit etmemiş olsa da, zincirin sadece bu kısmını kırmak sömürüyü önleyebilirdi.
2. Maruz kalan .git repo’dan tam veritabanı erişimine kadar
Bir güvenlik açığı taraması ile işaretlenen kasıtsız olarak maruz kalan bir .git deposunu araştırırken, ekibimiz bunun halka açık bir web uygulamasına ait olduğunu keşfetti.
Uygulamanın kaynak kodunu gözden geçirerek, bir kimlik doğrulama bypass’ı ortaya çıkardık – giriş sayfasına gizli bir parametre sağlayarak erişilebilir.
Ekibimiz, daha fazla analizin kimlik doğrulamalı bir sayfada kör bir SQL enjeksiyon kırılganlığı ortaya koyduğu bir yönetim aracına erişim kazandı.
Bir üniversitenin veritabanına erişim sağlanan bu güvenlik açığından yararlanmak, bir saldırgan tarafından kaldırılırsa, öğrencilerin ve personelin hassas kişisel bilgilerini ortaya çıkarabilen – küçük bir yanlış yapılandırmanın nasıl hızla büyük bir güvenlik riskine dönüşebileceğini gösteren.
3. Küçük bir detay, uzaktan kod yürütülmesine ne kadar yol açar?
Bir belge imzalama uygulamasında hatalar için avlanırken, ekibimiz bir PDF imzaladıktan sonra meta verilerin belge yaratıcısı olarak “Exiftool” listelediğini fark etti. Exiftool’un kritik güvenlik açıkları geçmişi göz önüne alındığında, daha derin kazdık.
Uygulama aracın sürümünü açıklamamasına rağmen, son bilinen güvenlik açıklarını test etmek CVE-2021-22204’e karşı savunmasız olduğunu doğruladı. Kötü niyetli bir PDF oluşturarak ve yükleyerek ekibimiz, WWW-Data kullanıcısı olarak uzaktan komut yürütme kazandı.
Bu taban, bir saldırganın etkilenen sunucuda ek güvenlik açıklarından yararlanmasına izin verebilir ve bu da ağdaki diğer makinelere kök erişim ve döndürmelerini sağlayarak büyük hasara neden olabilir.
4.
Siteler arası komut dosyası (XSS), özellikle kullanıcı etkileşimi gerekmediğinde, oturum kaçırma saldırıları için güçlü bir saldırı vektörüdür. Bir ‘kendi kendine XSS’ güvenlik açığı tipik olarak düşük risk olmakla birlikte, başka bir güvenlik açığı ile birleştirildiğinde tehlikeli hale gelebilir.
Ekibimiz bir açık artırma uygulamasını değerlendirirken bu tam senaryoyu ortaya çıkardı. Kullanıcı tarafından sağlanan bir HTTP istek başlığının uygulamanın yanıtına yansıtıldığı bir Self XSS güvenlik açığı keşfedildi.
Normalde, bir saldırgan bir kurbanın tarayıcısını kötü niyetli bir başlık göndermeye zorlayamadığından bu zararsız olurdu – ancak daha fazla test, önbellek zehirleme güvenlik açığını ortaya çıkardı.
Bu iki zayıflığı zincirleyerek, ekibimiz uygulamayı tüm site ziyaretçilerine kendi kendine XSS yükünü önbelleğe almak ve sunarak site çapında kalıcı bir XSS saldırısına yükseltti.
Bu, bir saldırganın yönetici hesapları da dahil olmak üzere herhangi bir kullanıcı hesabını kaçırmasına izin verirdi.
5. Hassas verileri ortaya çıkarmak için bir sayıyı değiştirme
API zayıflıkları düşündüğünüzden daha yaygındır. Bunlar arasında, idor güvenlik açıkları, bir istekte bir tanımlayıcıyı değiştirmenin ötesinde sömürmek için çok az çaba gerektirir.
Bir saldırgan için gerçek zorluk yürütme değil, keşif – uygun kimlik doğrulama veya yetkilendirme olmadan kullanılabilecek savunmasız bir uç nokta bulmak ve hassas verileri ortaya çıkardığını kabul etmek. Bir kez bulunduktan sonra, sömürü tanımlayıcıyı kullanıcının sahip olmadığı bir kaynağa değiştirmek veya sadece yöneticiler için ayrılması gereken bir uç noktaya istekte bulunmak kadar basit olabilir.
Ekibimiz API’larda Idor’u, eksik kimlik doğrulamasını ve bozuk yetkilendirme zayıflıklarını sık sık tanımlar. İşte gerçek HTTP istekleri ve yollardan bazı parçacıklar, son derece hassas verileri ortaya çıkardığını bulduğumuz bazı parçacıklar:
- Get /organizasyonlar /edit_user? User_id = 1001: Saldırgan kullanıcı profillerini değiştirebilir ve kaçak hesaplarını
- Get /prod-applicantresumes/12031.pdf: Saldırgan iş arayanların CV’lerine erişebilir.
- Post /Sipariş /İndir, OrderNo = 10202: Saldırgan müşteri siparişi bilgilerine erişebilir.
Bu örnekler API zayıflıklarının elde ettiği kadar basittir, ancak sonuçları çok geniştir. Sadece bir numarayı değiştirerek ve binlerce değerle numaralandırarak, diğer müşterilere ait tüm bilgi veritabanı indirilebilir.
Başlamadan önce ihlalleri durdur
Bu gerçek dünya örnekleri, güvenlik açıklarının kontrol edilmediğinde ciddi ihlallere nasıl yükselebileceğini göstermektedir. Saldırganlar beklemiyor – her zaman yeni giriş noktaları arıyorlar. İleride kalmanın ilk adımı? Saldırganların internetten hangi erişebileceğini bilmek – var bile var olan varlıklar dahil. Intruder, alt alanlar, girişler ve API’ler gibi bu bilinmeyenleri sürekli olarak keşfeder ve diğer çözümlerin kaçırdığı maruziyetler için bunları tarar.
 |
| Intruder’s Discovery sekmesi – yaptığınız (veya belki bilmediğiniz) varlıklar için var oldu |
Uygulamalardan bulut altyapısına kadar, davetsiz misafir ile güçlü bir platformda hepsini bulun ve güvence altına alın. Daha fazla bilgi edinin veya 14 günlük ücretsiz bir deneme ile taramaya başlayın.