Akamai araştırmacıları, VPN istismarı sonrası sıklıkla göz ardı edilen tehditi araştırarak, tehdit aktörlerinin bir VPN sunucusunu tehlikeye attıktan sonra saldırılarını artırmak için kullanabilecekleri teknikleri vurguladılar. Çalışma, Ivanti Connect Secure ve FortiGate VPN’lerini etkileyen ve saldırganların diğer kritik ağ varlıkları üzerinde kontrol sahibi olmalarını sağlayabilecek güvenlik açıklarına ve düzeltme gerektirmeyen tekniklere odaklanıyor.
VPN sunucuları, İnternet’ten erişilebilirlikleri ve zengin saldırı yüzeyleri nedeniyle uzun zamandır saldırganların hedefi olmuştur. Tarihsel olarak, bu sunucular dahili ağlara açılan kapılar olarak kullanılmıştır. Ancak araştırmacılar, bir saldırganın bir VPN sunucusunu tehlikeye attıktan sonra hangi ek hedeflere ulaşabileceğini keşfetmeyi amaçladılar.
VPN’den Yaşamak
Araştırmacılar, VPN’in istismar sonrası iki ana yaklaşımını belirlediler: cihazın işletim sistemini hedeflemek ve mevcut VPN yönetim arayüzünü kötüye kullanmak. “VPN’den geçinmek” olarak adlandırılan ikinci yaklaşım, özel bir implant geliştirmeyi gerektirmediği için daha uygun maliyetli ve uygulaması daha kolaydır.
- Bu tür erişim, tam RCE’den daha kolay elde edilebilir; yönetim arayüzüne erişim, kimlik doğrulama atlama güvenlik açığı, zayıf kimlik bilgileri veya kimlik avı yoluyla elde edilebilir.
- Bu yaklaşım, özel bir yük geliştirme çabasından kaçındığımız için daha uygun maliyetli olabilir.
Bunu göstermek için Akamai araştırmacıları, Ivanti Connect Secure ve FortiGate VPN sunucularını hedef aldılar ve saldırganların kritik ağ varlıklarını kontrol altına almak için kullanabilecekleri iki CVE ve birkaç düzeltme gerektirmeyen tekniği ortaya çıkardılar; bu da bir VPN ihlalini tam bir ağ ihlaline dönüştürebilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces
Uzaktan Kimlik Doğrulama Sunucularının Kötüye Kullanımı
VPN sunucuları tarafından işlenen kritik bir varlık, harici kimlik bilgileridir. Araştırmacılar, esas olarak LDAP ve RADIUS kimlik doğrulama sunucuları kullanıldığında, bu kimlik bilgilerini tehlikeye atma teknikleri buldular.
- LDAP Kimlik Doğrulaması: Hem FortiGate hem de Ivanti’nin basit kimlik doğrulaması kullanıldığında LDAP kimlik bilgilerini açık metin olarak ilettiği bulundu. LDAPS ve TLS gibi güvenli protokoller kullanıldığında bile, VPN’i kontrol eden bir saldırgan kimlik bilgilerini ele geçirmek için yapılandırmayı düşürebilir.
- RADIUS Kimlik Doğrulaması: Araştırmacılar, sahte bir kimlik doğrulama sunucusunu kaydetmenin bir yolunu keşfettiler ve bu da kullanıcı kimlik bilgilerini ele geçirmelerine olanak sağladı. Bu, bir kullanıcı grubuna veya bölgeye sahte bir sunucu ekleyerek yapılabilir ve VPN’in saldırgan tarafından kontrol edilen sunucuyu kullanarak kimlik doğrulamayı denemesine neden olur.
LDAP Kimlik Bilgilerini Yakalama
Kimlik doğrulama için düz LDAP kullanıldığında, VPN’e gönderilen kimlik bilgileri, VPN ve LDAP sunucusu arasında oturan bir saldırgan veya VPN sunucusunu kontrol eden bir saldırgan tarafından tehlikeye atılabilir. Saldırganlar, bir implant düşürmeden bu kimlik bilgilerini ele geçirmek için FortiGate ve Ivanti’deki yerleşik paket yakalama özelliğini kullanarak LDAP paketlerini engelleyebilir.
LDAPS ve TLS gibi güvenli protokoller kullanılsa bile, VPN üzerinde kontrolü olan bir saldırgan, yapılandırmayı değiştirerek onu düz LDAP’ye geri döndürebilir.
Bu, normal LDAP sunucuları için yapılandırmayı değiştirerek veya Ivanti’nin AD sunucusu için yeni bir LDAP sunucusu yapılandırmak üzere AD bağlantı ayrıntılarını kullanarak yapılabilir. Bu değişiklik kullanıcılar için şeffaftır ve VPN’in parolaları açık metin olarak göndermesine neden olur, bu da saldırganların kimlik bilgilerini elde etmesine ve etki alanına kolayca girmesine olanak tanır.
Sahte Kimlik Doğrulama Sunucusunun Kaydedilmesi
Akamai araştırmasına göre, FortiGate ve Ivanti VPN’lerinde kimlik doğrulama sırasında kullanıcı kimlik bilgilerini tehlikeye atmak için kullanılabilecek bir güvenlik açığı tespit edildi. Bu açık, sahte bir kimlik doğrulama sunucusu kaydederek kimlik doğrulama sürecini manipüle etmeyi içeriyor.
FortiGate VPN: Kullanıcılar, LDAP gibi harici sunuculardan uzak gruplar dahil olmak üzere belirli izinleri uygulamak üzere gruplandırılabilir. Ancak, karma bir gruptan (yerel ve uzak) bir kullanıcı kimlik doğrulaması yaptığında, FortiGate, herhangi bir sunucu onaylarsa, amaçlanan sunucudan bağımsız olarak erişim izni vererek, kimlik bilgilerini tüm yapılandırılmış sunuculara karşı doğrulamaya çalışır.
İvanti VPN: Benzer sorunlar ortaya çıkar, ancak Ivanti kimlik doğrulama alanlarını tek bir sunucuyla sınırlar. Ancak, ek bir sunucu yapılandırıldığında, Ivanti kimlik bilgilerini her ikisine karşı doğrular ve yalnızca her iki sunucu da onaylarsa başarılı olur. Bu açık, saldırganlar tarafından güvenliği tehlikeye atmak için kullanılabilir.
Kimlik Bilgilerini Sızdırmak İçin Sahte Kimlik Doğrulama Sunucusu Oluşturma
Bir saldırgan, kullanıcı kimlik bilgilerini ele geçirmek için sahte bir kimlik doğrulama sunucusu kurarak FortiGate ve Ivanti VPN’lerindeki güvenlik açıklarından yararlanabilir. Bu sahte sunucuyu bir FortiGate kullanıcı grubuna veya Ivanti alanına ekleyerek, VPN kimlik bilgilerini sızdırarak saldırganın kontrolündeki sunucuya kimlik doğrulama girişimleri gönderecektir.
Bu yöntem hem VPN istemcilerini hem de yöneticilerini hedefler. Saldırgan, kimlik bilgilerini yakalamak ve şifresini çözmek için bir RADIUS sunucusunu kullanabilir ve kimlik bilgilerinin ilk istekte doğrulama yapılmadan gönderildiği ve saldırgan tarafından kontrol edilen bir anahtarla şifrelendiği gerçeğinden yararlanabilir.
Sağlanan betik, RADIUS parolalarının nasıl şifresinin çözüleceğini gösterir. Ivanti’de başarılı kimlik doğrulamasını sağlamak için, sahte sunucunun sağlanan tüm kimlik bilgilerini onaylayacak şekilde yapılandırılması gerekir.
Çalışmada ayrıca VPN yapılandırma dosyalarının yerel kullanıcı parolaları, SSH anahtarları ve üçüncü taraf hizmet hesabı kimlik bilgileri gibi hassas bilgileri içerdiği ortaya çıktı.
Bu sırlar şifrelenmiş olarak saklanır ancak bilinen anahtarlar kullanılarak şifresi çözülebilir. FortiGate varsayılan olarak, sırları şifresini çözmek için kullanılabilen sabit kodlanmış bir anahtar kullanır. Bir saldırgan, özel bir anahtar kullanılsa bile şifrelemeyi varsayılan anahtara geri döndürebilir.
Bulgular, tehlikeye atılmış bir VPN sunucusunun ağa açılan bir ağ geçidinden daha fazlası olabileceğini gösteriyor. Ek kaynaklara erişmek ve potansiyel olarak tam bir ağ tehlikeye atılmasına yol açmak için kullanılabilir. Araştırmacılar, VPN istismar sonrası tekniklerinin risklerini en aza indirmek için en iyi uygulamaları takip etmenin önemini vurguluyor.
Azaltma
VPN sunucusu kullanırken riskleri en aza indirmek için şu dört temel ilkeyi izleyin:
- Sıfır Güven Ağ Erişimini (ZTNA) kullanın: Geleneksel VPN’ler, tehlikeye atıldığında riskli olan geniş bir ağ erişimi sağlar. ZTNA, erişimi kimliğe ve bağlama göre sınırlayarak, kullanıcılara yalnızca ihtiyaç duydukları erişimi sağlarken olası ihlallerin etkisini en aza indirir.
- Hizmet Hesabı İzinlerini Sınırla: VPN’ler hizmet hesabı parolalarını düz metin olarak ifşa edebileceğinden, bu hesapları minimum izinlerle, ideal olarak salt okunur olarak sınırlayın. Bu, bir VPN ihlalinin yol açabileceği hasarı azaltır.
- VPN Kimlik Doğrulaması için Özel Kimlikler Kullanın: VPN erişimi için AD gibi mevcut kimlik doğrulama hizmetlerini kullanmaktan kaçının, çünkü tehlikeye atılmış kimlik bilgileri daha geniş ağ ihlallerine yol açabilir. Bunun yerine, sertifika tabanlı kimlik doğrulama gibi ayrı, özel kimlik doğrulama yöntemleri kullanın.
- Yapılandırma Değişikliklerini İzle: VPN cihaz yapılandırmalarındaki değişiklikleri düzenli olarak kontrol edin ve bunları temel bir “altın görüntü” ile karşılaştırın. Bu değişiklikleri izlemek ve günlükleri analiz etmek, yetkisiz değişiklikleri tespit etmeye ve engellemeye yardımcı olabilir.
Bu öneriler, VPN’inize körü körüne güvenmemeniz ve onu güvence altına almak için proaktif adımlar atmanız gerektiğinin önemini vurgulamaktadır.