Ortak bir Azure hizmetinde yanlış yapılandırmalardan ve zayıf güvenlik denetimlerinden yararlanan bir saldırı zinciri, görünürlük eksikliğinin bulut platformlarının güvenliğini nasıl etkilediğini vurguluyor.
Ermetic 19 Ocak tarihli danışma belgesinde, “EmojiDeploy” saldırı zincirinin bir tehdit aktörünün Web sunucusunun izniyle rasgele kod çalıştırmasına, hassas verileri çalmasına veya silmesine ve hedeflenen bir uygulamanın güvenliğini aşmasına izin verebileceğini belirtti. Ermetic’e göre, bir saldırgan, kullanıcıya açık bir bildirimde bulunmadan birçok Azure uygulaması tarafından kullanılan bir bulut hizmeti olan ortak Kaynak Kodu Yönetimi (SCM) hizmetini etkileyen üçlü güvenlik sorunu kullanabilir.
Ermetic araştırma başkanı Igal Gofman, sorunların, bulut platformlarının güvenliğinin, bu platformların arka planda ne yaptığına ilişkin görünürlük eksikliği nedeniyle zayıfladığını gösteriyor.
“Azure ve bulut hizmeti tüketicileri – kuruluşlar – her hizmete ve içindekilere aşina olmalı ve güvenmemelidir. [that the] Bulut sağlayıcıları tarafından sağlanan varsayılan ayarlar her zaman güvenlidir” diyor. “Bulut sağlayıcıları, bulut altyapılarını güvence altına almak için milyonlarca dolar harcasa da, yanlış yapılandırmalar ve güvenlik açıkları meydana gelecek.”
EmojiDeploy araştırması, güvenlik araştırmacıları tarafından kısa süre önce keşfedilen ve bulut platformlarında veri ihlallerine veya başka şekilde tehlikeye atılmış bulut hizmetlerine neden olabilecek diğer saldırı zincirlerine katılıyor. Örneğin, Ekim 2022’de araştırmacılar, Atlassian’ın çevik bir proje yönetimi uygulaması olan Jira Align’da tehdit gruplarının Atlassian hizmetine saldırmasına izin verebilecek iki güvenlik açığı buldu. Ocak 2022’de Amazon, Amazon Web Services (AWS) platformunda bir kullanıcının başka bir müşterinin bulut altyapısının kontrolünü ele geçirmesine izin verebilecek iki güvenlik sorununu düzeltti.
Bir analize göre, bir saldırganın bulut hizmetlerindeki hassas verileri tehlikeye atmak için yalnızca ortalama üç adım atması gerekiyor – genellikle vakaların %78’inde bir güvenlik açığından başlayarak -.
Ermetic, “Bulut sistemleri oldukça karmaşıktır” dedi. “Çalıştığınız sistemin ve ortamın karmaşıklığını anlamak, onu savunmak için çok önemlidir.”
Kaynak Kodu Yöneticisi İstismarı
Ermetic tarafından bulunan saldırı, Kaynak Kod Yöneticisi (SCM) için belirli bir tanımlama bilgisi yapılandırmasının güvensizliğinden yararlandı. Ermetic’in danışma belgesine göre Azure hizmeti, siteler arası komut dosyası çalıştırma (XSS) önleme ve siteler arası istek sahteciliği (XSRF) önleme olmak üzere iki denetimi varsayılan olarak “Lax” olarak ayarladı.
Ermetic araştırmacıları, bu ayarların etkilerini daha ayrıntılı bir şekilde araştırdıktan sonra, üç yaygın Azure hizmetinden (Azure App Service, Azure Functions ve Azure Logic Apps) herhangi birini kullananların güvenlik açığı aracılığıyla saldırıya uğrayabileceğini keşfetti. Saldırı, bu üç ana hizmetin geliştirme ve Web ekiplerinin Azure uygulamalarını yönetmesine izin vermek için Kaynak Kodu Yönetimi (SCM) panelini kullanması nedeniyle mümkün oldu. SCM, Git’e benzer bir .NET çerçevesi olan açık kaynak Kudu depo yönetimi projesine dayandığından, açık kaynak projesindeki siteler arası betik çalıştırma güvenlik açığı Azure SCM’yi de etkiler.
Ne yazık ki güvenlik ayarının net olmadığını belirten Ermetic, birçok kişinin Azure Web Hizmetleri müşterileri varlığından haberi bile olmayacaktı. SCM paneli.
Ancak tek bir güvenlik açığı yeterli değildir. Araştırmacılar, gevşek çerez güvenliğini, bulut hizmetinin web sitesinin her bileşeninin aynı kaynaktan geldiğine dair kontrolünü atlayan özel olarak hazırlanmış bir URL ile eşleştirdi. Ermetic, danışma belgesinde, iki bileşenin birleştirilmesinin tam bir kökenler arası saldırıya izin verdiğini belirtti. Üçüncü bir zayıflık, belirli eylemlerin veya yüklerin de saldırıya dahil edilmesine izin verdi.
Paylaşılan Sorumluluk Yapılandırma Şeffaflığı Demektir
Ermetic’ten Gofman, saldırı zincirinin, bulut sağlayıcılarının güvenlik kontrollerini daha şeffaf ve varsayılan olarak daha güvenli yapılandırmalar haline getirmeleri gerektiğinin altını çiziyor. Paylaşılan sorumluluk uzun süredir bulut güvenliğinin mantrası olsa da, bulut altyapı hizmetleri her zaman güvenlik kontrollerine kolay erişim veya entegrasyon sunmadı.
“Bulut, sağlayıcı ile müşteri arasında güvenlik için paylaşılan bir sorumluluk modeli kullandığından, varsayılan hizmet ayarlarının ve yapılandırmalarının farkında olmak önemlidir” diyor. “En az ayrıcalık ilkesini uygulamak ve ortak sorumluluk modelinin farkında olmak çok önemli.”
Emetic, Ekim ayında saldırı zincirini Microsoft’a bildirdi ve danışmana göre satıcı, Aralık ayı başına kadar Azure için küresel bir düzeltme yayınladı.
Ermetic, danışma belgesinde “Güvenlik açığının bir bütün olarak kuruluş üzerindeki etkisi, uygulamanın yönetilen kimliğinin izinlerine bağlıdır” dedi. “En az ayrıcalık ilkesini etkili bir şekilde uygulamak, patlama yarıçapını önemli ölçüde sınırlayabilir.”