Çok sayıda çevrimiçi mağaza yöneticisi, özel yedekleri ortak klasörlerde saklıyor ve veritabanı parolalarını, gizli API anahtarlarını, yönetici URL’lerini ve müşteri verilerini nereye bakacağını bilen saldırganlara ifşa ediyor.
Sansec tehdit araştırmacıları, “Açığa çıkan sırlar, mağazaların kontrolünü ele geçirmek, tüccarları gasp etmek ve müşteri ödemelerini engellemek için kullanıldı” diyor.
Açığa çıkan yedeklemeler aranıyor
Araştırmacılar, çeşitli boyutlarda ve çeşitli e-ticaret platformlarında çalışan 2037 çevrimiçi mağazayı analiz ettiler ve bunların 250’sinin (%12) arşiv dosyalarını herkesin erişebileceği genel web klasöründe sakladığını buldular.
Sansec’in kurucusu Willem de Groot, Help Net Security’ye “En büyük barındırma ortaklarımızdan bazılarıyla işbirliği yaptık, bu nedenle örnek grubun küresel nüfusu temsil ettiğine inanıyorum” dedi.
“Yedek dosyalarını (sql/zip/tar) test etmenin yanı sıra, dosyaların gerçekten web üzerinden bulunup bulunmadığını da test ettik. Bunun için HTTP HEAD isteklerini kullandık, böylece yedek arşivleri indirmeden gerçek dosya boyutunu belirleyebildik.”
Ne yazık ki, siber suçlular da aynı şeyi yapabilir ve yaparlar.
“Birden fazla hafta boyunca binlerce olası yedek adın denendiği çevrimiçi mağazalara yönelik otomatik saldırılar gözlemledik. Araştırmacılar, saldırının site adını ve /db/staging-SITENAME.zip gibi genel DNS verilerini temel alan akıllı permütasyonları içerdiğini açıkladı.
“Bu araştırmaların çalıştırılması çok ucuz olduğundan ve hedef mağaza performansını etkilemediğinden, bir yedek bulunana kadar temelde sonsuza kadar devam edebilirler. Sansec, düzinelerce kaynak IP’den birden çok saldırı modeli buldu, bu da birden çok aktörün bu güvenlik açığından yararlanmak için çalıştığını gösteriyor.”
Ne yapalım?
Yanlışlıkla, dikkatsizlikten veya bilgi eksikliğinden dolayı, bazı yedeklemeler ortak klasörlerde kalabilir ve çevrimiçi mağaza yöneticilerinin bu istatistiğin bir parçası olup olmadıklarını kontrol etmeleri iyi olur.
Yedeklemeler açığa çıkarsa, web sunucusu günlük dosyaları bunların indirilip indirilmediğini gösterebilir. Varsa, yöneticiler derhal yetkisiz yönetici hesaplarını kontrol etmeli, şifreleri (yönetici, SSH/FTP hesabı, veritabanı) değiştirmeli ve veri çalan eklentileri, enjekte edilen kötü amaçlı yazılımları veya web’de gezinme komut dosyalarını kontrol etmelidir.
Genel olarak, önemli hesaplarda çok faktörlü kimlik doğrulama açık olmalı ve uzak veritabanı yönetim panelleri internete açık olmamalıdır.
Yedeklemelerin gelecekte açığa çıkmasını önlemenin yolları da vardır ve bunlar, birinin web sunucusunu arşiv dosyalarına erişimi kısıtlayacak şekilde yapılandırmak ve geçici yedeklemelerden mümkün olduğunca kaçınılması için sık yedeklemeler planlamak gibi eylemleri içerir.