Nedir ve Nasıl Düzeltilir?

   Kasım 25, 2024  Posted in Mix


HackerOne’ın 8. Yıllık Hacker Destekli Güvenlik Raporu, uygunsuz erişim kontrolünün, hata ödüllerinde bildirilen en yaygın ikinci güvenlik açığı ve sızma testlerinde bildirilen üçüncü güvenlik açığı olduğunu belirtiyor. HackerOne platformunda keşfedilen tüm güvenlik açığı türlerinin %9’unu oluşturur.

Uygun olmayan erişim kontrolü, “beklenmeyen bir meyve” güvenlik açığı türü olarak görülse de, veri ihlalleri ve hırsızlık, sistem kesintisi, üçüncü taraf riski, mali zararlar ve yasal/uyumluluk yansımaları da dahil olmak üzere bir kuruluşu önemli ölçüde etkileyebilir.

Uygunsuz erişim kontrolüne daha yakından bakalım; ne olduğu, nasıl kullanıldığı ve nasıl düzeltileceği.

Uygunsuz Erişim Kontrolü Nedir?

Erişim kontrolleri, bir sisteme, verilere ve kullanıcı izinlerine erişimi kontrol eden güvenlik önlemleridir. Kimin neye erişebileceğini tanımlarlar. Bu önlemler üç kategoriye ayrılır:

  • Kimlik Doğrulama: Kullanıcının kimliğinin kanıtlanması.
  • Yetkilendirme: Bir kullanıcının onaylanmasıyla belirli verilere veya kaynaklara erişmesine izin verilmelidir.
  • Denetim: Kullanıcının hangi eylemleri gerçekleştirdiğinin izlenmesi ve günlüğe kaydedilmesi.

Uygunsuz erişim kontrolü, bir sisteme veya verilere erişim üzerindeki kısıtlamaların uygun şekilde uygulanmaması ve yetkisiz erişime izin verilmesi durumunda ortaya çıkan sorunları ifade eder. Uygunsuz erişim kontrolü aşağıdakiler de dahil olmak üzere birçok farklı şekilde ortaya çıkabilir:

  • Meşru amaçlar için gerekli olanın ötesinde erişime izin veren, aşırı hoşgörülü erişim kuralları
  • Kimlik doğrulama gereksinimlerinin olmayışı, kimlik doğrulaması yapılmadan herkesin erişmesine izin verilmesi
  • Amaçlanandan daha fazla erişime izin veren güvenli olmayan varsayılan yapılandırmalar
  • Erişimin rollere göre kısıtlanamaması, alt düzey kullanıcıların ayrıcalıklı işlevlere erişmesine izin verilmesi
  • Artık ihtiyaç duyulmadığında erişimi uygun şekilde iptal etmemek, eski çalışanların/kullanıcıların hâlâ sistemlere erişim elde etmelerine izin vermek

Buradaki temel husus, uygunsuz erişim kontrollerinin, yetkisiz kullanıcıların politikaya dayalı olarak erişmemeleri gereken sistemlere veya verilere erişmesine izin vererek güvenlik açıkları yaratmasıdır. Uygun erişim kontrolleri en az ayrıcalık ilkesini izlemeli, erişim verme konusunda kısıtlayıcı olmalı ve iptal konusunda dikkatli olmalıdır.

Uygunsuz Erişim Denetiminin İş Etkisi

  1. Veri ihlalleri ve hırsızlık: Yetkisiz erişim, kötü niyetli aktörlerin müşteri bilgileri, ticari sırlar, finansal veriler veya fikri mülkiyet gibi hassas verilere erişmesine ve bunları çalmasına yol açabilir. Bu, önemli mali, hukuki ve itibar zararlarına neden olabilir.
  2. Sistem kesintisi: Uygunsuz erişim, kritik sistemlerin tehlikeye girmesine neden olur. Kötü niyetli aktörler fidye yazılımı başlatabilir, verileri silebilir veya bozabilir veya operasyonları kesintiye uğratarak verimliliği ve yetenekleri olumsuz etkileyebilir.
  3. Mevzuata uyumsuzluk: HIPAA, PCI-DSS ve NIST gibi düzenlemeler güçlü erişim kontrolleri gerektirir. Uyumluluğun karşılanmaması, ağır para cezalarına ve faaliyet göstermek için gereken sertifikaların kaybına neden olabilir.
  4. Ayrıcalığın kötüye kullanılması: Aşırı izin veren erişim, çalışanların/kullanıcıların kişisel kazanç için güvenliği tehlikeye atmak üzere yükseltilmiş ayrıcalıkları kötüye kullandığı içeriden gelen tehditlere olanak tanır. Bu dolandırıcılık veya sabotajla sonuçlanır.
  5. Üçüncü taraf riski: Satıcılar ve iş ortakları gibi dış tarafların erişimine yönelik zayıf erişim kontrolleri, bu dış tehditlerin güvenliği tehlikeye atmasına ve risk yüzeyini artırmasına olanak tanır.

Uygunsuz Erişim Kontrolünden Hangi Sektörler Etkileniyor?

Uygun olmayan erişim kontrolü sorunları sektöre göre ayrım yapmaz. Ancak bazı sektörlerde diğerlerinden daha ön plandadır. Aşağıdaki grafik, HackerOne platformundaki sektörlere göre en önemli güvenlik açıklarını göstermektedir. Uygunsuz erişim kontrolü, Devlet alanında tespit edilen güvenlik açıklarının yalnızca %5’ini oluştururken, İnternet ve Çevrimiçi Hizmetlerde %13 gibi devasa bir oranı oluşturmaktadır. Hassas verilere erişim ve bunların korunması konusunda devlet kurumları oldukça sıkı denetimlere tabidir. Öte yandan, İnternet ve Çevrimiçi Hizmetler kuruluşları, erişimi yönetmeyi zorlaştıran kapsamlı web varlıklarına sahiptir; bu nedenle, iç güvenlik ekipleri tarafından henüz tanımlanıp düzeltilmeyen daha az önemli güvenlik açıkları görüyorlar.

Sektörünüzün ortalamasıyla karşılaştırıldığında güvenlik açıklarınızın ne kadarının uygunsuz erişim kontrolü olduğuna bakın.

Sektöre göre güvenlik açığı türleri

Uygunsuz Erişim Kontrolü Güvenlik Açığının Gerçek Dünyadan Bir Örneği

HackerOne’ın Hacktivity kaynağı, HackerOne Platformunda açıklanan güvenlik açıklarını sergiliyor. Belirli zayıflıkların nasıl tanımlandığını ve düzeltildiğini görmek için göz atın. Aşağıdaki uygunsuz erişim kontrolü örneği, bir bilgisayar korsanının KAYAK’ta, bir saldırganın kuruluşun Android uygulamasında oturum açan herhangi bir hesabı ele geçirmesine olanak verebilecek bir güvenlik açığını nasıl keşfettiğini göstermektedir.

Müşteri: KAYIK
Güvenlik Açığı: Uygunsuz Erişim Kontrolü
Şiddet: Kritik

Özet

Etik hacker @retr02332, mobil uygulamalardaki sıfır gün güvenlik açıklarını araştırırken, KAYAK v161.1’de kötü amaçlı bir derin bağlantı aracılığıyla bir kullanıcının oturum çerezini çalmanın mümkün olduğunu buldu. Kimlik doğrulaması yapılmamış uzaktaki bir saldırgan, tek tıklamayla gerçekleştirilen saldırıyla KAYAK’ın Android mobil uygulamasına giriş yapan herhangi bir kurbanın hesabını çalabilir.

Uygunsuz erişim kontrolüne sahip KAYAK kodu

Darbe

Bilgisayar korsanı, kurbanın e-posta adresiyle belirli bir derin bağlantı oluşturmanın, saldırganın herhangi bir kimlik doğrulaması olmadan tek tıklamayla kurbanın KAYAK hesabına erişmesine olanak sağlayabileceğini gösterdi. İstismarı yeniden oluşturmak için aşağıdaki adımları gösterdiler:

  1. Kurbanın e-posta adresiyle aşağıdaki derin bağlantıyı oluşturun: kayak://[email protected]
  2. Derin bağlantıyı kurbana gönderin ve onu tıklamaları için kandırın.
  3. Derin bağlantı, saldırganın herhangi bir kimlik doğrulaması olmadan otomatik olarak kurbanın Android uygulamasındaki Kayak hesabına giriş yapmasını sağlayacak.

Bu, saldırganın mağdurun KAYAK hesabına yetkisiz erişim sağlamasına, kişisel bilgilerini görüntülemesine ve mağdur olarak hesap işlemleri gerçekleştirmesine olanak tanır.

İyileştirme

Bulgunun KAYAK’a bildirilmesinin ertesi günü Google Play Store üzerinden ilk yama kullanıma sunuldu. Neyse ki, güvenlik açığı keşfedilmeden çok kısa bir süre önce ortaya çıktı ve KAYAK’taki güvenlik ekibi bu güvenlik açığından yararlanıldığını belirledi.

Genel olarak, gerekli olan minimum erişimi sağlamaya, kontrol ve dengeyi uygulamaya, çok faktörlü kimlik doğrulamayı gerektirmeye ve kullanıcı eğitimine odaklanan kontrollerin uygulanması, uygunsuz erişim kontrolü güvenlik açıklarının önlenmesi ve düzeltilmesi için anahtardır.

HackerOne ile Kuruluşunuzu Uygunsuz Erişim Kontrolünden Koruyun

Bu, uygunsuz erişim kontrolü güvenlik açığının yaygınlığının ve etkisinin ciddiyetinin yalnızca bir örneğidir. HackerOne ve etik hackerlardan oluşan topluluğumuz, saldırganın zihniyetini göz önünde bulundurarak, hata ödülü, Hizmet Olarak Pentest (PTaaS), Kod Güvenliği Denetimi veya diğer çözümler yoluyla kuruluşların uygunsuz erişim kontrolü ve diğer güvenlik açıklarını tespit etmesine ve düzeltmesine yardımcı olacak en iyi donanıma sahiptir. bir güvenlik açığının keşfedilmesi.

En önemli 10 HackerOne güvenlik açığının etkisi hakkında daha fazla bilgi edinmek için 8. Yıllık Hacker Destekli Güvenlik Raporunu indirin veya kuruluşunuzda uygunsuz erişim kontrolünü üstlenmeye başlamak için HackerOne ile iletişime geçin.



Source link