Önde gelen siber güvenlik araştırma ekibi Zafran’a göre, web uygulaması güvenlik duvarı (WAF) hizmetlerinin yapılandırmasında yakın zamanda keşfedilen ve “BreakingWAF” olarak adlandırılan bir güvenlik açığı, çok sayıda Fortune 1000 şirketini siber saldırılara karşı savunmasız bıraktı.
Bu kusur, Akamai, Cloudflare, Fastly ve Imperva gibi en popüler WAF sağlayıcılarından bazılarını etkiliyor. Bu kusur, hizmet reddi (DoS) saldırılarına, fidye yazılımlarına ve hatta tam uygulamanın tehlikeye girmesine neden olabilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
BreakingWAF Nasıl Etkilenir?
Zafran araştırmacıları tarafından ortaya çıkarılan bu yanlış yapılandırma, Fortune 1000 şirketlerine ait 140.000’den fazla alanı etkiliyor. Bunlar arasında 36.000 arka uç sunucusunun kendilerine bağlı 8.000 alan adı vardı ve bu da onları potansiyel saldırganlara açık ve DDoS saldırılarına açık hale getiriyordu.
Fortune 100 şirketlerinin yaklaşık %40’ı ve Fortune 1000 şirketlerinin %20’si etkilendi ve bu da yaygın yanlış yapılandırmanın altını çiziyor.
JPMorgan Chase, Visa, Intel, Berkshire Hathaway ve UnitedHealth gibi dünyanın en büyük şirketlerinden bazılarının etkilendiği tespit edildi.
Örneğin Zafran’ın açıklaması, JPMorgan Chase’in ana web sitesi Chase.com’u doğrudan etkileyen sorunu hızla çözdü.
Zafran’ın ekibi, Berkshire Hathaway’in yan kuruluşu BHHC’ye ait bir web alanına 20 saniyelik bir hizmet reddi saldırısı gerçekleştirerek bu güvenlik açığının ciddiyetini ortaya koydu ve gerçek dünyadaki sonuçların potansiyelini vurguladı.
Zafran teknik analizine göre kusur, aynı zamanda ağ güvenilirliğini ve önbelleğe almayı geliştirmek için içerik dağıtım ağları (CDN’ler) olarak da çalışan modern WAF sağlayıcılarının ikili işlevselliğinde yatmaktadır.
Arka uç sunucuları trafiği düzgün bir şekilde kontrol etmediğinde, bu mimari tasarım, saldırganların WAF korumalarını aşarak doğrudan arka uç altyapısına yönelmelerine olanak tanıyan büyük bir delik açar.
Saldırganlar, harici etki alanlarını arka uç IP adresleriyle eşleştirerek bu kusurdan yararlanabilirler; bu, gizli tutmayı amaçladıkları bir süreçtir ancak gelişmiş parmak izi alma tekniklerini kullanarak tersine mühendislik yapabilirler.
Saldırganlar, dağıtılmış hizmet reddi (DDoS) saldırıları başlatabilir, fidye yazılımı yükleyebilir veya arka uç sunuculara erişim kazandıktan sonra WAF’ın genellikle engelleyeceği uygulama güvenlik açıklarından yararlanabilir.
Keşif, WAF/CDN çözümlerinin tasarımı ve uygulanmasındaki sistemik bir zayıflığın altını çiziyor.
Etkili bir WAF, halka açık web uygulamaları için genellikle birincil veya tek savunma katmanıdır ve bu yanlış yapılandırmayı özellikle endişe verici hale getirir.
WAF baypaslarından kaynaklanan siber olaylar, tarihin en büyüklerinden biri olan Capital One veri ihlalinde görüldüğü gibi, halihazırda felaketle sonuçlanan sonuçlara yol açmıştır.
Son trendler, saldırganların giderek kötü yapılandırmalara sahip web uygulamalarını hedef aldığını gösteriyor. Örneğin, Gelişmiş Kalıcı Tehdit (APT) grubu APT41’in hassas verileri sızdırmak için benzer güvenlik açıklarından yararlandığını gözlemledik. Ayrıca, açığa çıkan web uygulamalarına yönelik bulut fidye yazılımı saldırıları da giderek yaygınlaşıyor.
Bu tür saldırıların mali etkisi şaşırtıcıdır. Örneğin, bir saat süren bir DDoS saldırısı, bir finans kuruluşuna yaklaşık 1,8 milyon dolara mal olabilirken, büyük bir pizza zincirinde benzer bir kesinti süresi, 1,9 milyon dolara kadar kayıpla sonuçlanabilir.
Azaltıcı Önlemler
Bu WAF yanlış yapılandırmasıyla ilişkili risklere karşı korunmak için Zafran birkaç azaltma stratejisinin ana hatlarını çizdi:
- IP Beyaz Listesi (Köken IP Erişim Kontrol Listeleri): Arka uç sunuculara erişimi yalnızca CDN sağlayıcılarının IP adresleriyle kısıtlayın. Basit olmasına rağmen bu yöntem kusursuz değildir.
- Özel Başlıklarda Önceden Paylaşılan Sırlar: Trafiğin kimliğini doğrulamak için önceden paylaşılan sırlara sahip özel HTTP üstbilgilerini kullanın. Kısa vadede etkili olsa da bu, periyodik gizli rotasyonu gerektirir.
- Karşılıklı TLS (mTLS): Hem sunucuyu hem de CDN’yi doğrulamak için istemci sertifikasını kullanın. Bu en güvenli yaklaşımdır ancak tüm popüler yük dengeleyiciler tarafından desteklenmeyebilecek özel araçlar gerektirir.
Akamai ve Cloudflare gibi WAF sağlayıcıları, bu etki azaltma önlemlerinin uygulanmasına yönelik ayrıntılı kılavuzlar sunmaktadır. Ayrıca Zafran, Tehdit Maruziyeti Yönetimi platformu aracılığıyla kuruluşların bu güvenlik açığına maruz kalma durumlarını değerlendirmelerine ve ele almalarına olanak tanıyan araçlar sağlar.
Zafran, etkilenen şirketleri bilgilendirmek için 23 Ağustos 2024’ten itibaren 90 günlük koordineli bir açıklama süreci başlattı. Ekip, güvenlik açığını Visa, Intel, JPMorgan Chase, Berkshire Hathaway BHHC ve UnitedHealth’e bildirdi. JPMorgan Chase ve UnitedHealth’in sorunu halihazırda çözerek olası suistimalleri önlediği dikkate değer.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt