Bir ağa giriş noktası olarak veritabanını kullanan bir saldırı, bize veritabanlarınızı asla İnternet’e maruz bırakmamanız gerektiğini hatırlatır.
Fidye yazılımı ve kaba kuvvet şifre tahmin saldırılarını düşündüğümüzde normalde aklımıza RDP gelir, ancak Securonix’in son araştırmaları bize şifreyle korunan ve İnternet’te açığa çıkan her şeyin siber suçluların ilgisini çektiğini hatırlatıyor.
Microsoft’un Uzak Masaüstü Protokolü, birkaç yıldır fidye yazılımı çetelerinin favori giriş noktası olmuştur. Siber suçlular, RDP’si internete açık olan makineleri arar ve giriş kazanmayı umarak şifrelerini tahmin etmeye çalışır. RDP’yi seviyorlar çünkü onlara bilgisayarın önünde bir sandalyede oturmakla aynı erişimi sağlıyor ve seçebilecekleri milyonlarca hedef var.
Ancak diğer sistemler de benzer şekilde giriş elde etmek için kötüye kullanılabilir ve Securonix Tehdit Araştırma ekibi, saldırganların kaba kuvvet saldırıları kullanarak açıktaki Microsoft SQL (MSSQL) hizmetlerini hedef aldığını tespit ettiğini bildirdi.
Securonix tarafından açıklanan bir saldırıda saldırganlar, MSSQL şifresini kaba bir şekilde zorladı ve ardından veritabanının çalıştığı ana makinede komutları çalıştırmak için veritabanının xp_cmdshell özelliğini kullandı.
Daha sonra MSSQL işlevi xp_cmdshell saklı prosedürünün etkinleştirildiğini keşfeden saldırganlar, ana bilgisayarda kabuk komutları çalıştırmaya başladı. Bu işlev, komutların yürütülmesine izin verir ve normalde gerekmedikçe etkinleştirilmemelidir.
Saldırganlar bu yeteneği, kendilerine RDP erişimi sağlamak amacıyla ana makinede komutlar çalıştırmak için kullandı. Bu başarısız olduğunda bunun yerine AnyDesk uzaktan erişim yazılımını kullandılar. Oradan, FreeWorld fidye yazılımını çalıştırmadan önce sunucunun üzerinde çalıştığı ağı araştırdılar. Securonix, saldırganlar tarafından atılan adımların ayrıntılı bir dökümünü sunuyor ve makalesi okumaya değer.
Saldırı, en az benim veritabanlarıyla uğraştığım 25 yıl kadar eski olan eski bir güvenlik atasözünü zamanında hatırlatıyor: Veritabanlarınızı asla İnternet’e maruz bırakmayın. Tipik olarak veritabanları, ağınızın çevresinde değil merkezinde olması gereken ve yalnızca dahili sistemler tarafından erişilebilir olması gereken hassas bilgiler içerir. Verilere İnternetten erişilmesi gerektiğinde, bu bir uygulama veya API aracılığıyla kullanıma sunulmalıdır.
Her ne kadar durum şu anda çok daha iyi olsa da, tarihsel olarak bazı veritabanları, varsayılan şifrelerle gönderim yaparak, hatta hiç kimlik doğrulaması yapmayarak durumu daha da kötüleştirdi.
Daha önce de belirttiğim gibi, saldırganları RDP’ye çeken şeylerden biri de mevcut hedeflerin çokluğudur, bu yüzden İnternet’e bağlı bilgisayarları bulan arama motoru Shodan aracılığıyla kaç tane veritabanı bulabileceğimi merak ettim.
Karşılaştırma yapmak gerekirse, son beş yılda her baktığımda RDP’yi çalıştıran ve Shodan üzerinden erişilebilen yaklaşık iki veya üç milyon bilgisayar olduğunu görüyorum; bu da saldırganların seçebilecekleri iki ila üç milyon hedef olduğu anlamına geliyor.
İnternette veritabanları bulma
Araştırdığım ilk veritabanı, Securonix tarafından tespit edilen saldırının hedefi olan MSSQL’di. Shodan’da yapılan basit bir arama neredeyse 90.000 potansiyel hedef buldu. Her ne kadar MSSQL çalıştıran, Internet’e açık bilgisayarların sayısı RDP’ye göre çok daha az olsa da, MSSQL çalıştıran bir sunucunun, RDP çalıştıran bir masaüstü bilgisayardan çok daha yüksek bir değer hedefi olması muhtemeldir.
İnternete bağlı herhangi bir şeyin, aralıksız şifre tahminine konu olması beklenmelidir ve bunlar da bir istisna değildir.
Sırada, geçmişte önemli fidye yazılımı kampanyalarına konu olan bir “noSQL” veritabanı olan MongoDB vardı. Geçmişte, MongoDB’nin bazı yapılandırmaları, parola belirlemeden kurulumu mümkün kılıyordu ve saldırganlar, bunu yapmayanlarla başı dertteydi.
Sorun o kadar ciddiydi ki 2017’de MongoDB web sitesi, kullanıcılarına ürünün güvenlik özelliklerini kullanmalarını hatırlatan Verilerinizi Fidye Eden Kötü Amaçlı Bir Saldırıdan Nasıl Kaçınabilirsiniz başlıklı bir makale yayınladı.
Açıkçası pek çok kişi bunu okumadı ve 2020’de otomatik bir fidye yazılımı kampanyası, şifre olmadan açığa çıkan 22.900 veritabanına fidye notları bıraktı. O zamanlar bunun İnternet’e bağlı MongoDB veritabanlarının %47’sini temsil ettiği söyleniyordu.
Bu kitlesel istismar olayları geçmişte kaldı, ancak Shodan’a göre artık potansiyel saldırganların incelemesi için internete bağlı neredeyse 110.000 MongoDB veritabanı var.
Daha sonra dünyanın en popüler veritabanı olan MySQL’i aradım. Shodan, MySQL’i çalıştıran üç milyondan fazla sunucu buldu ve bu da toplam potansiyel hedef sayısı açısından MySQL’in RDP’ye denk olmasını sağladı. Bunların yanı sıra MySQL çatalı MariaDB’nin 800.000 örneği daha var ve bu da dört milyonluk devasa bir hedef havuzu oluşturuyor.
MySQL ve MariaDB, MSSQL gibi kurumsal bir veri deposu yerine genellikle web siteleri için veri kaynağı görevi görür. mayıs iş açısından daha az kritik veri taşırlar, ancak yine de bir ödülü ve ağa potansiyel bir giriş noktasını temsil ederler.
Her kuralın istisnaları olsa da, muhtemelen kurala uymanız gerektiği varsayımıyla başlamak her zaman iyidir. Veritabanlarınızı İnternet’ten uzak tutmanız iyi bir tavsiye olmaya devam ediyor; bu nedenle bunun doğru çözüm olduğuna karar vermeden önce uzun uzun düşünün. Ve internette olsun ya da olmasın, veritabanlarının güvenliği her zaman son derece güçlü bir parola ile sağlanmalıdır.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE