1 Temmuz 2024’te siber güvenlik topluluğu, OpenSSH’de regreSSHion olarak adlandırılan kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığının keşfiyle sarsıldı. Bu açıklama, SSH sunucularını bulmak ve güvenliğini sağlamak için çabalayan güvenlik ekipleri arasında bir çılgınlığı tetiklerken, güvenlik tedarikçileri de düzeltmeler ve tespitler geliştirip dağıtmak için acele etti. Kaos aşikardı ve bu tür güvenlik açıklarının daha derinlemesine anlaşılması gerektiğinin altını çiziyordu. Bu makalede RCE güvenlik açıklarının doğasını, potansiyel etkilerini ve ciddiyet ve aciliyetlerinin nasıl değerlendirileceğini inceleyeceğiz.
Uzaktan Kod Yürütme (RCE) güvenlik açıkları, saldırganların bir yazılım hatası nedeniyle hedef makinede uzaktan rastgele kod yürütmesine olanak tanır. Bu güvenlik açıklarının kritiklikleri, paniğe kapılmadan önce kontrol etmeniz gereken birkaç temel faktörden etkilenerek büyük ölçüde değişiklik gösterebilir.
RCE güvenlik açıklarının en kritik yönlerinden biri, bunların ön kimlik doğrulama (ön kimlik doğrulama) olup olmadığıdır. Kimlik doğrulama öncesi güvenlik açıkları herhangi bir kimlik doğrulama gerektirmediğinden saldırganların herhangi bir parola, anahtar veya sır bilmesine gerek kalmadan kod yürütmesine olanak tanır. Bu, sömürünün önündeki engeli önemli ölçüde azaltır. Dikkate değer örnekler arasında, kimlik doğrulama öncesi doğası nedeniyle yaygın endişelere neden olan EternalBlue ve regreSSHion yer alıyor.
“Sıfır tıklama” (0 tıklama) güvenlik açıkları olarak bilinen, kullanıcı etkileşimi gerektirmeyen güvenlik açıkları özellikle tehlikelidir. Bu güvenlik açıklarından, kurban bir bağlantıya tıklamak veya bir dosyayı açmak gibi herhangi bir şey yapmadan yararlanılabilir. Sıfır tıklama güvenlik açıkları genellikle bir dereceye kadar kullanıcı etkileşimi gerektiren “tek tıklama” veya “çoklu tıklama” güvenlik açıklarıyla karşılaştırılır. Apple iOS aygıtlarına yönelik FORCEDENTRY istismarı, 0 tıklama güvenlik açığının başlıca örneğidir.
Bir güvenlik açığının kolaylıkla istismar edilebilmesi bir diğer önemli faktördür. Kamuya açık bir istismarın mevcut olması tehlikeyi önemli ölçüde artırırken, diğer faktörler de rol oynamaktadır. Modern istismarlar genellikle “ilkel” olarak adlandırılan birden fazla küçük güvenlik açığının birbirine zincirlenmesinden oluşur. Bu karmaşıklık, istismarı saldırganlar ve savunucular arasında zorlu bir “kedi-fare” oyununa dönüştürebilir. Bazı güvenlik açıkları, istatistiksel istismarlar olarak bilinen nadir koşulların tetiklenmesine dayanır. Bu, istismarın başarısız olması durumunda Hizmet Reddi (DoS) saldırılarına yol açabilir veya istismarı doğası gereği zor ve güvenilmez hale getirebilir.
Bir RCE güvenlik açığının etkisi, etkilenen yazılımın popülerliğinden de etkilenir. Windows veya OpenSSH gibi yaygın olarak kullanılan yazılımlardaki bir güvenlik açığı, doğası gereği, az bilinen bir uygulamadaki güvenlik açığından daha kritiktir. Örneğin, Windows’taki EternalBlue güvenlik açığı, Windows’un her yerde bulunması nedeniyle büyük bir etkiye sahipti.
Güvenlik açığını düzeltmenin ne kadar kolay olduğu aynı zamanda kritikliğini de etkiler. Bazı güvenlik açıkları basit bir güncellemeyle giderilebilirken, diğerleri altyapıda önemli değişiklikler ve hatta yeni donanım gerektirebilir. Örneğin RowHammer güvenlik açığı, donanım düzeyindeki belirli güvenlik açıklarının düzeltilmesindeki zorlukların altını çizdi. Ayrıca, bir uygulamanın varsayılan yapılandırmasında yararlanılabilen güvenlik açıkları, daha geniş bir kurulum tabanını etkilediğinden özellikle tehlikelidir. Birçok kullanıcı ve kuruluşun varsayılan yapılandırmaları değiştirmemesi, bu güvenlik açıklarından yararlanma olasılığını artırıyor.
EternalBlue, varsayılan yapılandırmasında Windows SMB işlevselliğini etkileyen en ünlü RCE güvenlik açıklarından biridir. Kamuya açık bir istismarın varlığı, milyonlarca Windows makinesini savunmasız hale getirdi ve bu da istismarın yaygınlaşmasına ve dünya çapındaki kuruluşlar üzerinde önemli etkilere yol açtı. Şiddetine çeşitli faktörler katkıda bulundu: Yalnızca bir Windows makinesiyle ağ iletişimini gerektirdi, bu da onu 0 tıklamayla kimlik doğrulama öncesi bir güvenlik açığı haline getirdi. Shadow Brokers sızıntısı, saldırganların çıtasını düşüren işlevsel bir istismar içeriyordu. Windows’un yaygın kullanımı güvenlik açığının etkisini artırdı ve eski Windows sistemlerine yama uygulanmasının zor olduğu ortaya çıktı ve güvenlik açığının etkileri daha da kötüleşti.
OpenSSH’de keşfedilen regreSSHion güvenlik açığı, bir başka önemli kimlik doğrulama öncesi RCE’dir. Endişe verici doğasına rağmen, daha derin bir analiz hafifletici faktörleri ortaya çıkarır. OpenSSH’nin yaygın olarak kullanılması, içindeki herhangi bir güvenlik açığının potansiyel olarak etkili olmasını sağlar. regreSSHion, varsayılan yapılandırmayı etkileyen, 0 tıklamayla kimlik doğrulama öncesi bir güvenlik açığıdır. Ancak temel sorun, güvenilir bir şekilde kullanılması zor olan istatistiksel bir güvenlik açığı olan bir yarış durumudur. En iyi bilinen istismar, birkaç saat boyunca sürekli denemeler gerektirir ve güvenlik araçları tarafından tespit edilmeye açıktır. Konsept kanıtı hızlı bir şekilde elde edilse de, tam olarak işleyen bir açık henüz yayınlanmadı ve mevcut olanlar oldukça karmaşık ve çevreye bağımlı.
Yaygın etki potansiyeline rağmen, regreSSHion’dan yararlanmanın karmaşıklığı ve hafifletici önlemlerin mevcudiyeti acil riski azaltır. Kuruluşlara internete yönelik SSH sunucularına öncelik vererek kritik varlıklara yama yapmaları tavsiye edilir.
Kritiklik faktörlerini (ön kimlik doğrulama, varsayılan yapılandırma, yararlanılabilirlik, popülerlik, vb.) anlayarak bir riski analiz etmek, “yeni kritik güvenlik açığı” olayı sorununu, çok verimli bir şekilde çözmenin yoludur; EternalBlue ve regreSSHion vakalarını kritiklik faktörlerine göre sıralayın.
Kritiklik analizinin ve düzenli yama uygulamasının ötesinde, kritik güvenlik açıklarına yapılandırılmış bir yanıt da çok önemlidir. Öncelikle internete yönelik ve iş açısından kritik varlıklara odaklanarak çalışmaları önceliklendirmek için etkilenen tüm varlıkları belirleyin. Ardından, hızlı ve etkili bir düzeltme sağlamak için mümkün olan yerlerde yama uygulamayı otomatikleştirin. Unutmayın, amaç paniği önlemek, kritikliği doğru değerlendirmek ve kuruluşunuzu korumak için kararlılıkla hareket etmektir!
Ciddiyetlerini değerlendirmek için bir çerçeve sağlamak amacıyla RCE açıklarını kritiklik faktörlerine ayırdık. EternalBlue ve regreSSHion gibi vaka çalışmalarını inceleyerek belirli güvenlik açıklarını diğerlerinden daha tehlikeli kılan şeyin ne olduğunu vurguladık. Temel çıkarım, bilgi sahibi olmak, riskleri dikkatli bir şekilde analiz etmek ve sağlam bir güvenlik duruşunu sürdürmek için eylemlere öncelik vermektir.
Yazar Hakkında
Jonathan Jacobi, siber güvenlik girişimi Dazz’ın CTO ofisinin bir parçası. Şirket içinde ürün geliştirme ve inovasyona odaklanıyor. Siber güvenlik alanında geniş bir geçmişe sahip olan Jonathan, üniversite eğitimine bilgisayar bilimleri alanında 13 yaşında başladı, Check Point Research’te Güvenlik Açığı Araştırmacısı olarak çalıştı ve Microsoft’un MSRC’sinin bir parçası olarak en genç Microsoft çalışanıydı.
Jonathan, askerlik hizmeti sırasında Elit İsrail Siber ve İstihbarat Birimi 8200’de çeşitli güvenlik araştırmaları ve liderlik pozisyonlarında görev yaptı.
Jonathan’ın uygulamalı deneyimi, gerçek dünya güvenlik araştırmalarından 0 günlük güvenlik açıklarını bulmaya, TEDx ve CCC (Kaos İletişim Kongresi) gibi dünyaca ünlü etkinliklerde konuşmaya kadar uzanmaktadır. Aynı zamanda dünyanın 1 numaralı bilgisayar korsanlığı (CTF) takımı olarak gösterilen Perfect Blue’nun Kurucu Ortağıdır (2020-2021, 2023). Jonathan’a şu adresten çevrimiçi olarak ulaşılabilir: [email protected] | https://twitter.com/j0nathanj ve Dazz’ın web sitesinde https://www.dazz.io/who-we-are