Bilgi teknolojisi (BT) profesyonellerinin bir şirketin zayıf noktalarını kötü adamlardan önce ortaya çıkarmasının en etkili yollarından biri sızma testidir. Bazen sızma testleri olarak da adlandırılan sızma testleri, gerçek dünyadaki siber saldırıları simüle ederek bir kuruluşun güvenlik duruşuna ilişkin paha biçilmez bilgiler sağlar ve potansiyel olarak veri ihlallerine veya diğer güvenlik olaylarına yol açabilecek zayıflıkları ortaya çıkarır.
Otomatik bir ağ penetrasyon testi platformu olan vPenTest’in yaratıcıları Vonahi Security, “2024’ün En İyi 10 Kritik Sızma Testi Bulguları” adlı yıllık raporunu yayınladı. Bu raporda, Vonahi Security 10.000’den fazla otomatik ağ sızma testi gerçekleştirerek 1.200’den fazla kuruluşta en iyi 10 dahili ağ sızma testi bulgusunu ortaya çıkardı.
Kuruluşların karşılaştığı yaygın güvenlik açıklarını ve bunların etkili bir şekilde nasıl ele alınacağını daha iyi anlamak için bu kritik bulguların her birine derinlemesine bakalım.
En İyi 10 Sızma Testi Bulguları ve Önerileri
1. Çok Noktaya Yayın DNS (MDNS) Sahtekarlığı
Çok noktaya yayın DNS (mDNS), küçük ağlarda yerel bir DNS sunucusu olmadan DNS adlarını çözümlemek için kullanılan bir protokoldür. Yerel alt ağa sorgular göndererek herhangi bir sistemin istenen IP adresiyle yanıt vermesini sağlar. Bu, kendi sistemlerinin IP adresiyle yanıt verebilen saldırganlar tarafından istismar edilebilir.
Öneriler:
Kötüye kullanımı önlemenin en etkili yöntemi, mDNS’nin kullanılmadığı durumlarda tamamen devre dışı bırakılmasıdır. Uygulamaya bağlı olarak bu, Apple Bonjour veya avahi-daemon hizmetinin devre dışı bırakılmasıyla gerçekleştirilebilir.
2. NetBIOS Ad Hizmeti (NBNS) Sahtekarlığı
NetBIOS Ad Hizmeti (NBNS), bir DNS sunucusu kullanılamadığında DNS adlarını çözümlemek için dahili ağlarda kullanılan bir protokoldür. Sorguları ağ üzerinden yayınlar ve herhangi bir sistem istenen IP adresiyle yanıt verebilir. Bu, kendi sistemlerinin IP adresiyle yanıt verebilen saldırganlar tarafından istismar edilebilir.
Öneriler:
Aşağıda, Windows ortamında NBNS kullanımını önlemeye veya NBNS Spoofing saldırılarının etkisini azaltmaya yönelik bazı stratejiler yer almaktadır:
- Sistemlerin NBNS sorgularını (TCP/IP Yapılandırma Parametreleri üzerinden NetBIOS) kullanmasını önlemek için UseDnsOnlyForNameResolutions kayıt defteri anahtarını yapılandırın. DWORD kayıt defterini şu şekilde ayarlayın:
- Dahili ağdaki tüm Windows ana bilgisayarları için NetBIOS hizmetini devre dışı bırakın. Bu, DHCP seçenekleri, ağ bağdaştırıcısı ayarları veya bir kayıt defteri anahtarı aracılığıyla yapılabilir.
3. Yerel Bağlantı Çok Noktaya Yayın Adı Çözümlemesi (LLMNR) Sahtekarlığı
Yerel Bağlantı Çok Noktaya Yayın Ad Çözümlemesi (LLMNR), bir DNS sunucusu kullanılamadığında DNS adlarını çözümlemek için dahili ağlarda kullanılan bir protokoldür. Sorguları ağ üzerinden yayınlayarak herhangi bir sistemin istenen IP adresiyle yanıt vermesini sağlar. Bu, kendi sistemlerinin IP adresiyle yanıt verebilen saldırganlar tarafından istismar edilebilir.
Öneriler:
Kötüye kullanımı önlemenin en etkili yöntemi, sistemlerin LLMNR sorgularını kullanmasını önlemek amacıyla Çok Noktaya Yayın Ad Çözümlemesi kayıt defteri anahtarını yapılandırmaktır.
- Grup İlkesini Kullanma: Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\DNS İstemcisi \Çok Noktaya Yayın Ad Çözümlemesini Kapat = Etkin (Windows 2003 DC’yi yönetmek için, Windows 7 için Uzak Sunucu Yönetim Araçlarını kullanın)
- Yalnızca Windows Vista/7/10 Home Edition için Kayıt Defterini kullanma: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast
4. IPV6 DNS Sahtekarlığı
IPv6 DNS sahtekarlığı, bir ağ üzerinde hileli bir DHCPv6 sunucusu konuşlandırıldığında meydana gelir. Windows sistemleri IPv4 yerine IPv6’yı tercih ettiğinden, IPv6 etkin istemciler varsa DHCPv6 sunucusunu kullanacaktır. Saldırı sırasında bu istemcilere bir IPv6 DNS sunucusu atanır ve istemciler IPv4 yapılandırmalarını korur. Bu, saldırganın, istemcileri saldırganın sistemini DNS sunucusu olarak kullanacak şekilde yeniden yapılandırarak DNS isteklerine müdahale etmesine olanak tanır.
Öneriler:
İş operasyonları için gerekli olmadığı sürece IPv6’yı devre dışı bırakın. IPv6’nın devre dışı bırakılması ağ hizmetlerinde potansiyel olarak kesintiye neden olabileceğinden, toplu dağıtımdan önce bu yapılandırmanın test edilmesi önemle tavsiye edilir. Alternatif bir çözüm, ağ anahtarlarına DHCPv6 koruması uygulamak olabilir. Temel olarak DHCPv6 koruması, yalnızca yetkili bir DHCP sunucuları listesinin istemcilere kiralama atamasına izin verilmesini sağlar
5. Eski Microsoft Windows Sistemleri
Güncelliğini yitirmiş bir Microsoft Windows sistemi artık güvenlik güncellemelerini almadığından saldırılara karşı savunmasızdır. Bu, onu zayıf noktalarından yararlanabilecek ve potansiyel olarak ağdaki diğer sistemlere ve kaynaklara yönelebilecek saldırganlar için kolay bir hedef haline getiriyor.
Öneriler:
Microsoft Windows’un eski sürümlerini, güncel ve üretici tarafından desteklenen işletim sistemleriyle değiştirin.
6. IPMI Kimlik Doğrulaması Atlaması
Akıllı Platform Yönetim Arayüzü (IPMI), yöneticilerin sunucuları merkezi olarak yönetmesine olanak tanır. Ancak bazı sunucularda, saldırganların kimlik doğrulamayı atlamasına ve parola karmalarını almasına olanak tanıyan güvenlik açıkları bulunur. Parolanın varsayılan veya zayıf olması durumunda saldırganlar açık metin parolayı elde edebilir ve uzaktan erişim sağlayabilir.
Öneriler:
Bu güvenlik açığına yönelik herhangi bir yama bulunmadığından aşağıdaki eylemlerden bir veya birkaçının gerçekleştirilmesi önerilir.
- IPMI erişimini sınırlı sayıda sistemle (yönetim amacıyla erişim gerektiren sistemler) kısıtlayın.
- İş operasyonları için gerekli değilse IPMI hizmetini devre dışı bırakın.
- Varsayılan yönetici şifresini güçlü ve karmaşık bir şifreyle değiştirin.
- Bir saldırganın ortadaki adam saldırısında bu parolayı başarıyla elde etme şansını sınırlamak için hizmette yalnızca HTTPS ve SSH gibi güvenli protokoller kullanın.
7. Microsoft Windows RCE (BlueKeep)
Test sırasında CVE-2019-0708’e (BlueKeep) karşı savunmasız sistemler belirlendi. Bu Microsoft Windows güvenlik açığı, mevcut araçlar ve kodlar nedeniyle saldırganların etkilenen sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyan yüksek derecede istismar edilebilir niteliktedir.
Öneriler:
Etkilenen sisteme güvenlik güncellemelerinin uygulanması önerilir. Ayrıca kuruluş, güvenlik güncellemeleri eksikliğinin nedenini belirlemek için yama yönetimi programını değerlendirmelidir. Bu güvenlik açığı yaygın olarak kullanılan bir güvenlik açığı olduğundan ve önemli erişime yol açabileceğinden, derhal düzeltilmesi gerekir.
8. Yerel Yönetici Parolasının Yeniden Kullanımı
Dahili sızma testi sırasında birçok sistemin aynı yerel yönetici şifresini paylaştığı tespit edildi. Tek bir yerel yönetici hesabının güvenliğinin aşılması, birden fazla sisteme erişim sağladı ve kuruluş içinde yaygın bir uzlaşma riskini önemli ölçüde artırdı.
Öneriler:
Yerel yönetici parolasının birden çok sistem arasında tutarlı olmadığından emin olmak için Microsoft Yerel Yönetici Parolası Çözümü (LDAPS) gibi bir çözüm kullanın.
9. Microsoft Windows RCE (Ebedi Mavi)
Test sırasında MS17-010’a (EternalBlue) karşı savunmasız sistemler belirlendi. Bu Windows güvenlik açığı, mevcut araçlar ve kodlar nedeniyle saldırganların etkilenen sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyan yüksek düzeyde istismar edilebilir.
Öneriler:
Etkilenen sisteme güvenlik güncellemelerinin uygulanması önerilir. Ayrıca kuruluş, güvenlik güncellemeleri eksikliğinin nedenini belirlemek için yama yönetimi programını değerlendirmelidir. Bu güvenlik açığı yaygın olarak kullanılan bir güvenlik açığı olduğundan ve önemli erişime yol açabileceğinden, derhal düzeltilmesi gerekir.
10. Dell EMC IDRAC 7/8 CGI Enjeksiyonu (CVE-2018-1207)
2.52.52.52’den önceki Dell EMC iDRAC7/iDRAC8 sürümleri, bir komut ekleme sorunu olan CVE-2018-1207’ye karşı savunmasızdır. Bu, kimliği doğrulanmamış saldırganların kök ayrıcalıklarıyla komutları yürütmesine olanak tanıyarak onlara iDRAC cihazı üzerinde tam kontrol sağlar.
Öneriler:
Ürün yazılımını mümkün olan en son sürüme yükseltin.
Kritik Sızma Testi Bulgularının Yaygın Nedenleri
Bu bulguların her biri farklı bir istismardan ortaya çıkmış olsa da çoğunun ortak olduğu bazı şeyler var. En önemli sızma testi bulgularının çoğunun temel nedenleri, yapılandırma zayıflıkları ve yama eksiklikleri olmaya devam ediyor.
Yapılandırma zayıflıkları
Yapılandırma zayıflıkları genellikle yöneticiler tarafından dağıtılan sistemlerdeki hizmetlerin uygun şekilde sağlamlaştırılmasından kaynaklanır ve zayıf/varsayılan kimlik bilgileri, gereksiz şekilde açığa çıkan hizmetler veya aşırı kullanıcı izinleri gibi sorunları içerir. Bazı yapılandırma zayıflıkları sınırlı durumlarda istismar edilebilir olsa da başarılı bir saldırının potansiyel etkisi nispeten yüksek olacaktır.
Eksiklikleri düzeltme
Yama eksiklikleri hâlâ kuruluşlar için önemli bir sorun olmaya devam ediyor ve genellikle yama yönetimi çözümündeki uyumluluk ve çoğu zaman yapılandırma sorunları gibi nedenlerden kaynaklanıyor.
Bu iki önemli sorun tek başına sık sık penetrasyon testi yapılmasının gerekliliğini kanıtlamaktadır. Sızma testleri için yılda bir kez yapılan testler olağan yaklaşım olsa da, devam eden testler, güvenlik risklerinin nasıl önemli risklere yol açabileceğine ilişkin gerçek zamanlı bağlama daha yakın olan önemli boşlukların belirlenmesinde önemli miktarda değer sağlar. Örneğin, Tenable’ın Nessus tarayıcısı LLMNR’yi yalnızca bilgi amaçlı olarak tanımlayabilir. Vonahi’nin vPenTest’i ile üç ayda bir veya aylık ağ penetrasyon testi yalnızca bu sorunları vurgulamakla kalmaz, aynı zamanda bunların potansiyel etkilerini de açıklar.
vPenTest nedir?
vPenTest, bir kuruluşun BT ortamındaki güvenlik risklerini ve ihlallerini proaktif olarak azaltmaya yardımcı olan, lider, tam otomatik bir ağ sızma testi platformudur. Nitelikli bir ağ penetrasyon test cihazı bulma zorluklarını ortadan kaldırır ve hangi güvenlik açıklarının belirlendiğini, bunların kuruluşa ne gibi riskler sunduğunu ve bu güvenlik açıklarının teknik ve stratejik açıdan nasıl düzeltileceğini bildiren kaliteli çıktılar sağlar. Hepsinden iyisi, kuruluşun uyumluluk yönetimi yeteneklerinin güçlendirilmesine yardımcı olabilir.
vPenTest: Temel Özellikler ve Faydalar
- Kapsamlı Değerlendirmeler: Ağınızdaki tüm potansiyel giriş noktalarını kapsamlı bir şekilde incelemek için hem iç hem de dış testleri çalıştırın.
- Gerçek Dünya Simülasyonu: Güvenlik duruşunuza ilişkin değerli bilgiler edinmek için gerçek dünyadaki siber tehditleri simüle edin.
- Zamanında ve Uygulanabilir Raporlama: Güvenlik açıklarını, bunların etkilerini ve önerilen eylemleri içeren ayrıntılı, anlaşılması kolay raporlar alın.
- Devam Eden Testler: Proaktif ve hızlı yanıt veren güvenlik önlemleri sağlamak için aylık test aralıkları belirleyin.
- Verimli Olay Müdahalesi: Potansiyel güvenlik olaylarına etkili bir şekilde hazırlanmak için güvenlik açıklarını erken tespit edin.
- Uyumluluk Hizalaması: SOC2, PCI DSS, HIPAA, ISO 27001 gibi düzenleyici uyumluluk gerekliliklerini ve siber sigorta gerekliliklerini karşılayın.
Bugün ücretsiz deneme sürümünü edinin ve siber saldırı risklerinizi gerçek zamanlı olarak proaktif bir şekilde belirlemek için vPenTest’i kullanmanın ne kadar kolay olduğunu görün.
vPenTest’i Ücretsiz Deneyin!