Don’t Be Breached’ın CEO’su Randy Reiter tarafından
Nisan 2022 Microsoft, PostgreSQL için Azure Veritabanındaki güvenlik açıklarının, bilgisayar korsanlarının kimlik doğrulamasını atladıktan sonra diğer müşterilerin veritabanlarına erişmesine izin verebileceğini bildirdi. Microsoft Güvenlik Yanıt Merkezi, “Bir çoğaltma kullanıcısı için Esnek Sunucu kimlik doğrulama işleminde yükseltilmiş bir izin hatasından yararlanarak, kötü niyetli bir kullanıcı, diğer müşterilerin veritabanlarına erişim elde etmek için kimlik doğrulamasını atlamak için uygun olmayan şekilde sabitlenmiş bir normal ifadeden yararlanabilir” dedi.
Bulut güvenlik firması Wiz’in araştırma ekibi, güvenlik açıklarını keşfetti. Saldırgan, Azure PostgreSQL’de bir hedef veritabanının tam kopyasını oluşturabilir [Flexible Server]Wiz’in kurucu ortağı ve CTO’su Ami Luttwak, temel olarak veritabanında depolanan tüm bilgilerin sızdırıldığını söylüyor.
Microsoft, Wiz’in sorunu bildirmesinden 48 saatten kısa bir süre sonra 13 Ocak 2022’de sorunu hafiflettiğini söyledi. Microsoft, analizinin, saldırganların müşteri verilerine erişmek için güvenlik açıklarından yararlandığına dair hiçbir kanıt göstermediğini söyledi. Wiz, Microsoft’un araştırmacılarına 40.000 dolarlık bir hata ödülü verdiğini söyledi – bu miktar, güvenlik açığının ciddiyetinin teyidi olarak görülebilir.
Veritabanı Güvenlik Açığı Nasıl Kullanılır?
Microsoft tarafından açıklandığı gibi, Wiz araştırmacıları, sahte bir sertifika kullanarak hesaplar arası kimlik doğrulamasını atlamalarına ve diğer müşterilerin veritabanlarına erişmelerine izin veren yükseltilmiş ayrıcalıklar ve uzaktan kod yürütme elde etmek için aşağıdaki adımlardan geçti:
- Bir hedef PostgreSQL Esnek Sunucu seçin.
- Sertifika Şeffaflığı özet akışından hedefin ortak adını alın.
- DigiCert’ten veya DigiCert Ara Sertifika Yetkilisinden özel olarak hazırlanmış bir sertifika satın alın.
- Veritabanı etki alanı adını çözümleyerek ve Azure’ın genel IP aralıklarından biriyle eşleştirerek hedefin Azure bölgesini bulun.
- Hedefin Azure bölgesinde saldırgan kontrollü bir veritabanı oluşturun.
- Ayrıcalıkları yükseltmek ve kod yürütme elde etmek için saldırgan tarafından kontrol edilen örnekte 1 numaralı güvenlik açığından yararlanın.
- Hedef örnek için alt ağı tarayın ve okuma erişimi elde etmek için 2 numaralı güvenlik açığından yararlanın!
Günümüzün Karmaşık Ortamında Veri Sızıntısı ve Veri İhlalleri Nasıl Önlenir?
Veri Sızıntısı ve Veri İhlallerini önlemek için günümüzde birden çok veri koruma katmanı gereklidir. 2020’de DHS, Dışişleri Bakanlığı, ABD Deniz Piyadeleri ve Füze Savunma Ajansı, ağ trafiğinin Derin Paket Denetimi analizi (DPI) için ağ tam paket veri yakalaması için bu ve yayınlanan tüm teklif taleplerini (RFP) kabul etti. Bu, gizli veritabanı verilerinin ve kuruluş bilgilerinin korunmasına yönelik önemli bir adımdır.
Bilgisayar korsanlarının sistem ayrıcalıkları kazanmasına izin veren sıfırıncı gün güvenlik açıkları, tüm kuruluşların şifrelenmiş ve şifrelenmemiş gizli verileri için büyük bir tehdittir. Gizli veriler şunları içerir: kredi kartı, vergi numarası, tıbbi, sosyal medya, kurumsal, üretim, ticari sırlar, kolluk kuvvetleri, savunma, iç güvenlik, elektrik şebekesi ve kamu hizmeti verileri. Bu gizli veriler neredeyse her zaman DB2, Informix, MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL ve SAP Sybase veritabanlarında saklanır.
Derin Paket Denetimi ile Veri Sızıntısı ve Veri İhlalleri Nasıl Durdurulur
Şifrelenmiş ve şifrelenmemiş gizli veritabanı verilerini korumak, veritabanlarını, işletim sistemlerini, uygulamaları ve ağ çevresini Hacker’lara, Rogue Insider’lara ve Tedarik Zinciri Saldırılarına karşı korumaktan çok daha fazlasıdır.
Müdahaleci olmayan ağ koklama teknolojisi, bir ağ bağlantısından veya proxy sunucusundan veritabanı sunucuları üzerinde hiçbir etkisi olmadan veritabanı etkinliğinin %100’ünün gerçek zamanlı Derin Paket Denetimini (DPI) gerçekleştirebilir. Veritabanı SQL etkinliği çok tahmin edilebilir. 1.000 ila 10.000 son kullanıcıya hizmet veren veritabanı sunucuları, genellikle günlük 2.000 ila 10.000 benzersiz sorguyu veya günde milyonlarca kez çalışan SQL komutlarını işler. Derin Paket Analizi, izlenen ağlarda, sunucularda veya veritabanlarında oturum açmayı gerektirmez. Bu yaklaşım, CISO’lara nadiren başarabileceklerini sağlayabilir. Veritabanı etkinliğine ilişkin tam görünürlük ve gizli veritabanı verilerinin %100 korunması.
DPI’dan Gelişmiş SQL Davranış Analizi Veri Sızmasını ve Veri İhlallerini Önler
Gelişmiş SQL Davranış Analizi Gerçek zamanlı veritabanı SQL paketlerinin %100’ünün normal veritabanı etkinliğinin ne olduğunu öğrenebilir. Artık veritabanı sorgusu ve SQL etkinliği, DPI ile gerçek zamanlı olarak müdahaleci olmayan bir şekilde izlenebilir ve normal olmayan SQL etkinliği hemen saptanabilir. Bu yaklaşımın kurulumu ucuzdur ve işletme maliyeti düşüktür. Artık Hacker’lardan, Rogue Insider’lardan veya Tedarik Zinciri Saldırılarından kaynaklanan normal olmayan veritabanı etkinliği birkaç mili saniye içinde tespit edilebiliyor. Gizli veritabanı verilerinin çalınmaması, fidye alınmaması veya Dark Web’de satılmaması için Güvenlik Ekibi derhal bilgilendirilebilir ve Hacker oturumu sonlandırılabilir.
yazar hakkında
Randy Reiter, Don’t Be Breached a Sql Power Tools şirketinin CEO’sudur. DB2, Informix, MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL ve SAP Sybase veritabanları için bir veri tabanı Veri İhlali önleme ürünü olan Database Cyber Security Guard ürününün mimarıdır. Bilgisayar Bilimi alanında yüksek lisans derecesine sahiptir ve son 25 yılda gerçek zamanlı ağ koklama ve veritabanı güvenliği konularında yoğun bir şekilde çalışmıştır. Randy’ye [email protected], www.DontBeBreached.com ve www.SqlPower.com/Cyber-Attacks adreslerinden çevrimiçi olarak ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserinden izin almadan sınırlı olarak yararlanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.