Dünyanın dört büyük muhasebe firmasından biri olan Ernst & Young’a (EY) ait 4 terabaytlık tam bir SQL Server yedeğinin Microsoft Azure’da herkesin erişimine açık bulunmasıyla kritik bir güvenlik açığı keşfedildi.
Maruziyet, rutin internet haritalama işlemleri sırasında güvenlik araştırmacıları tarafından tespit edildi ve o zamandan beri sorumlu açıklama protokolleri izlenerek düzeltildi.
Keşif ve İlk Müdahale
Pasif veri toplamayı yürüten güvenlik araştırmacıları, devasa yedekleme dosyasını standart keşif teknikleriyle keşfetti.
Azure depolama kümesine yapılan bir HEAD isteği, 4 terabaytlık bir nesnenin olağandışı büyük bir dosya olduğunu ve anında incelemeyi garanti ettiğini belirten meta verileri döndürdü.
Dosya adlandırma kuralı, SQL Server yedekleme (.BAK) dosya formatlarıyla eşleşiyordu; bu da şemaları, saklı prosedürleri ve API anahtarları, oturum belirteçleri, kullanıcı kimlik bilgileri ve kimlik doğrulama belirteçleri dahil olmak üzere potansiyel olarak hassas verileri içeren eksiksiz bir veritabanı dışa aktarımını öneriyordu.
Veri setinin tamamını indirmeden dosyanın gerçekliğini doğrulamak için araştırmacılar, dosyanın başlık imzalarını, dosya türlerini tanımlayan ayırt edici “sihirli baytları” inceledi.
Baytlar, şifrelenmemiş bir SQL Server yedeklemesini doğruladı ve bu da maruz kalmanın ciddiyeti hakkındaki şüpheleri ortadan kaldırdı.
Bu keşif, siber güvenlik profesyonellerinin buluta açık yedeklemeler hakkında bildikleri göz önüne alındığında özellikle endişe verici olduğunu kanıtladı.
Yıllar süren olay müdahale çalışmaları sorunlu bir model oluşturdu; saldırganlar, özellikle yanlış yapılandırılmış bulut paketlerini ve açığa çıkan veritabanlarını arayarak tüm IP adresi aralıklarını dakikalar içinde tarayabilen, internet üzerinden dağıtılmış tarama altyapısını dağıtıyor.
Maruz kalma ve dışarı sızma arasındaki pencere genellikle saatlerden ziyade saniyelerle ölçülür.
Önceki yıllarda yaşanan buna benzer bir olayda, bir fintech şirketinin veri tabanı yedeğinin yanlışlıkla yaklaşık beş dakika boyunca halka açık hale getirilmesiyle ilgiliydi.
Kısa süreli açığa çıkma süresine rağmen saldırganlar, kişisel olarak tanımlanabilir bilgiler ve kimlik bilgileri de dahil olmak üzere veri kümesinin tamamını zaten sızdırmıştı.
Şirketin ana sayfa trafiği bu pencerede yüzde 400 arttı ve bu da binlerce otomatik robotun açığa çıkan dosyalara eriştiğini gösteriyor.
Sahipliğin izini sürmek, DNS kayıtlarını, işletme kayıt belgelerini ve alan adı yetkilisi aramalarını kapsayan bir dedektiflik çalışması gerektiriyordu.
Bir SOA (Yetki Başlangıcı) kaydı sorgusu, sonuçta ey.com’a işaret eden yetkili DNS sunucusunu ortaya çıkardı ve EY’nin ana kuruluşunun mülkiyetini doğruladı.
Araştırmacılar teknik araştırmayı derhal durdurdular ve herhangi bir resmi güvenlik açığı açıklama programının mevcut olmaması nedeniyle LinkedIn ve diğer kanallar aracılığıyla güvenlik ekibiyle iletişime geçmeye çalıştılar.
EY’nin olaya tepkisi örnek niteliğinde oldu. Güvenlik liderliği, raporu savunmadan kabul etti, hızlı önceliklendirme başlattı ve bir hafta içinde tam iyileştirmeyi tamamladı.
Firma, hassas mali verileri işleyen kuruluşlar için olay müdahalesini karakterize etmesi gereken profesyonellik ve teknik yeterliliği gösterdi.
Olay, modern bulut altyapısındaki kritik bir güvenlik açığının altını çiziyor; devasa dijital varlıkları yöneten kuruluşlar genellikle kendi teşhir yüzeylerine ilişkin gerçek zamanlı görünürlükten yoksundur.
Özel güvenlik ekiplerine sahip, iyi kaynaklara sahip kuruluşlar bile, basit hatalar, yanlış paket adı, gözden kaçan ACL ayarları veya otomatik dışa aktarma sırasında varsayılan genel izinler nedeniyle erişim kontrollerini yanlışlıkla yanlış yapılandırabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.