ASP.NET Core AppSettings.json dosyasının Azure Active Directory (Azure AD) kimlik bilgilerini ortaya çıkarmak, kritik bir saldırı vektörü oluşturur ve rakipleri bir kuruluşun bulut ortamına etkili bir şekilde teslim eder.
Resculity’nin Hunter ekibi tarafından yakın zamanda yapılan bir siber güvenlik değerlendirmesi sırasında, araştırmacılar halka açık bir Appsettings.json dosyasının, herhangi bir saldırganın Microsoft’un OAuth 2.0 uç noktalarına karşı doğrudan kimlik doğrulaması yapmasına ve güvenilir bir uygulama olarak hareket etmesine izin veren bir Azure Reklam uygulamasının müşteri kimliğini ve müşterilerini ortaya çıkardığını keşfettiler.
Yüksek şiddetli etki
Sızan ClientID ve ClientSecret ile saldırganlar, Microsoft Graph API’larına erişim sağlayan bir taşıyıcı jetonu elde ederek istemci kimlik bilgileri akışı aracılığıyla OAuth 2.0 jetonları talep edebilir. Uygulamanın atanan grafik izinlerine bağlı olarak, bu jeton şunları etkinleştirir:
- SharePoint, OneDrive ve Exchange Online’dan hassas verilerin alınması
- Azure Reklamda Kullanıcıların, Grupların ve Dizin Rollerinin Numaralandırılması
- Grafik API’sının kötüye kullanılması ayrıcalık artış veya kalıcılığını gerektirir
- Kiracı altında kötü amaçlı uygulamaların konuşlandırılması
Dosya erişim kontrolleri olmadan sunulduğundan, herhangi bir otomatik tarama veya belirlenmiş düşman bu sırları toplayabilir ve bulut hesaplarını hemen tehlikeye atabilir, verileri dışarı atabilir veya yanal olarak üretim hizmetlerine taşıyabilir.
Bu güvenlik açığı, bulut yerli uygulamalarda yaygın yanlış yapılandırmaları ve zayıf sır yönetimini belirler. Yerel geliştirmede, geliştiriciler genellikle ClientId, ClientSecret, depolama anahtarları veya veritabanı şifreleri gibi hassas değerleri düz yapılandırma dosyalarında saklar. Sorunlar ortaya çıkar:
- Sunucular, json yapılandırmalarını kasıtsız olarak ortaya koyan statik dosyaları sunmak için yanlış yapılandırılır.
- Dağıtım boru hatları, erişim kısıtlamaları olmadan dahili yapılandırma dosyalarını üretime itin.
- Takımlar güvenli tonozları (Azure Key Vault, AWS Secrets Manager) ve hardcode sırlarını atlar.
- Düzenli güvenlik testi veya kod incelemelerinin olmaması, maruz kalan dosyaların fark edilmemesini sağlar.
- Gizlilikten aşırı bağımlılık, otomatik tarama araçlarını göz ardı ederek dahili dosyaları “kimsenin bulamayacağını” varsayar.
Sızıntının anatomisi
ASP.NET Core uygulamalarında, Appsettings.json, bağlantı dizelerini, API anahtarlarını, bulut kimlik bilgilerini, günlük ayarlarını, özellik bayraklarını ve Azuread bölümünde, örnek, tenantid, clientId, Regirecturi ve Clientsecret gibi alanlar saklayan birincil yapılandırma dosyasıdır.
Herkese açık bir şekilde erişilebilir olduğunda, bu değerler rakiplerin meşru uygulamaları taklit etmesi için bir fırlatma rampası haline gelir.
- Token edinimi. Saldırgan, bir taşıyıcı jetonu elde etmek için sızdırılan istemci kimliği ve istemcilerle birlikte Azure AD’nin /oauth2/v2.0/token uç noktasına bir gönderi gönderir.
- Kullanıcı numaralandırması. Jeton kullanarak saldırgan çağrıları, tüm kiracı kullanıcıları listelemek, isimleri, e -posta adreslerini ve nesne kimliklerini listelemek için https://graph.microsoft.com/v1.0/users al.
- İzin hibeleri. Daha sonra https://graph.microsoft.com/v1.0/oauth2permissiongrants, tehlikeye atılan uygulamanın hangi izinleri açıklar.
- Grup numaralandırması. Https://graph.microsoft.com/v1.0/groups almak için bir çağrı, küresel yöneticiler gibi yüksek kümelerdeki hedefleri vurgulayarak organizasyon gruplarını ortaya çıkarır.
Bu yeteneklerle, rakipler verileri ortaya çıkarabilir, ayrıcalıkları artırabilir, kalıcı erişim için haydut uygulamaları kaydedebilir ve hatta bulut kaynaklarına karşı kurcalayabilir.
Kuruluşlar katı dosya erişim kontrollerini uygulamalı, yapılandırma dosyalarını genel barındırmadan hariç tutmalı ve sağlam gizli yönetim uygulamalarını benimsemelidir.
Vauls’u güvence altına almak için sırların taşınması, açıkta kalan kimlik bilgileri için otomatik taramayı entegre etmek, düzenli penetrasyon testleri yapmak ve en az müstehcen grafik izinlerinin uygulanması, bu sızıntı riskini büyük ölçüde azaltacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.