Londra, İngiltere merkezli bir siber güvenlik firması olan Intruder.io, DNS yeniden bağlama saldırısı kullanarak kendi kendini hackleyerek düşük ayrıcalıklı AWS kimlik bilgilerini elde etmelerini sağladı.
Siber güvenlik firması Intruder, düşük ayrıcalıklı AWS (Amazon Web Hizmetleri) kimlik bilgilerini ayıklamalarına olanak tanıyan bir DNS yeniden bağlama güvenlik açığından başarıyla yararlanarak nasıl saldırıya uğradıklarını açıklayan blog gönderileri yayınladı. Kendilerini hackledikten sonra platformlarında bir DNS yeniden bağlama güvenlik açığı keşfettiler.
Nadir de olsa, DNS yeniden bağlamanın kötüye kullanılması kalıcı bir tehdittir. 2018 yılında Hackread.com rapor edildi Siber güvenlik firması Armis’in araştırması, çoğu işletmeler tarafından kullanılan yarım milyardan (496 milyon) fazla IoT cihazının DNS yeniden bağlamaya karşı savunmasız bulunduğunu ortaya çıkardı.
Davetsiz misafirin penetrasyon test cihazı Daniel Thatcher kayıt edilmiş Güvenlik açığının etkisi, geçerli güvenlik önlemleri nedeniyle sınırlı olsa da, bu istismar, sızma testi gibi zaman kısıtlı senaryolarda DNS yeniden bağlama saldırılarının uygulanabilirliğini gösteriyor.
Daha fazla araştırma ona yardımcı oldu başarmak Chrome, Edge ve Safari tarayıcılarında güvenilir, iki saniyede bir DNS yeniden bağlama; özellikle IPv6 mevcut olduğunda bu şaşırtıcıydı.
Güvenlik açığı, Intruder’ın müşteri web sitelerinin anlık görüntülerini yakalayan ekran görüntüsü çalışanlarında keşfedildi. Bunlar, ekran görüntüsü almadan önce HTTP yönlendirmelerini takip ettiğinden ve dahili EC2 meta veri hizmetine erişim konusunda kısıtlamalar içermediğinden, mevcut roller için AWS kimlik bilgilerinin açığa çıkarılması mümkün hale geldi.
Bu güvenlik açığından yararlanılarak, EC2 meta veri hizmeti uç noktasına yönlendirme yapacak şekilde genel bir web sunucusu kuruldu. Bir çalışan bu sunucunun ekran görüntüsünü aldığında, mevcut rollerin listesini yakalayarak hassas bilgileri açığa çıkardı. Thatcher, daha fazla değişiklik yaparak belirli bir rol için gerçek kimlik bilgilerini elde etti.
Thatcher’ı bilgilendirdi DevOps ekibi Blogda, “ekran görüntüsü alma aracının meta veri hizmetine erişmesini” engellemek için ağ düzeyinde kısıtlamalar uygulayarak sorunu çözmeye çalıştığı belirtildi.
Daniel ayrıca işçileri kullanmaya başladı IMDSv2Bunun, meta veri hizmetindeki belirli bir uç noktaya PUT isteği yaparak meta veri hizmetine yapılan tüm isteklerde başlığa bir belirteç dahil edilmesini zorunlu hale getirerek saldırıyı önleyeceğini düşünüyor.
Davetsiz misafirin ekran görüntüsü çalışanlarının takip ettiği HTTP yönlendirmeleri ile başlıkları ayarlamak, PUT istekleri yapmak veya yanıtlarını görüntülemek mümkün değildir. İşte o zaman DNS yeniden bağlamanın, büyük tarayıcılar ve özel ağ istekleri üzerindeki kısıtlamaları aşmalarına olanak sağlayabileceğini anladı.
Tarayıcılarda, geleneksel DNS yeniden bağlama, saldırganların kurbanları kötü amaçlı bir web sitesi yüklemeleri için kandırarak dahili ağ hizmetlerine erişmesine olanak tanır. Ancak, modern web uygulamalarının işlevleri açısından başsız tarayıcıları yönlendirdiği göz önüne alındığında, hem genel (saldırgan kontrollü) hem de hedef sunucu IP adreslerini döndürerek web uygulamalarına saldırmak için kullanışlı bir araç haline geldi.
Saldırı, tarayıcının ilk önce genel sunucuyla iletişim kurmasına ve saldırganın sayfasını yüklemesine dayanır. Saldırganın sunucusu daha sonra trafiği engelleyerek tarayıcıyı hedef sunucuya geri dönmeye zorlar ve saldırganın sayfasındaki JavaScript’in hedef sunucuya aynı kaynaktan istek göndermesine izin verir.
Çıkarılan kimlik bilgileri minimum izinlere ve sınırlı potansiyel hasara sahipti, ancak hizmet kesintisi mümkündü. Diğer HTTP hizmetlerine erişimi sınırlayarak AWS’ye daha fazla girilmesini ve olası zararları önleyebilirler.
Thatcher, güvenlik açığından yararlanılsa bile birden fazla güvenlik katmanının saldırı yüzeyini en aza indirebileceği sonucuna vardı. Ekran görüntüsü çalışanı güvenlik açığı IMDSv2 uygulamasıyla düzeltildi.
Dış Tehditler Karşınıza Çıkmadan Güvenliğinizi Güçlendirin
Güvenlik açıklarını belirlemek için kasıtlı olarak kendi ağınıza hackleme yaptığınız etik hackleme veya sızma testleri gerçekleştirmek, siber güvenlik savunmalarını güçlendirmeye yönelik proaktif ve stratejik bir yaklaşımdır.
Kuruluşlar, gerçek dünyadaki saldırı senaryolarını simüle ederek, kötü niyetli aktörlerin yararlanabileceği potansiyel zayıflıklar hakkında değerli bilgiler edinebilir. Kendi kendine uygulanan bu test, güvenlik açıklarının keşfedilmesine olanak tanır kötü niyetli olarak kullanılmadan önce Dış tehditler nedeniyle.
Bu zayıf yönleri anlamak, kuruluşların güçlü güvenlik önlemleri almasına, gerekli yamaları uygulamasına ve savunmalarını güçlendirmesine olanak tanıyarak sonuçta yetkisiz erişim, veri ihlalleri veya diğer siber tehdit riskini azaltır.
Basitçe söylemek gerekirse, kişinin kendini hacklemesi, güvenlik açıklarını önceden ele alma fırsatı sağlayarak, düşmanların belirlenen güvenlik açıklarından yararlanma şansına sahip olmasından önce daha güvenli bir ağ ortamı sağlar.
İLGİLİ MAKALELER
- Siber güvenlik firması 5 milyar veri ihlali kaydını açığa çıkardı
- Çinli Hackerlar Group-IB Siber Güvenlik Firmasını Hedef Almaya Devam Ediyor
- WH Ulusal Siber Güvenlik Stratejisi: İhlallerden Sorumlu Yazılım Firmaları
- Siber güvenlik firması Stormshield ihlali; müşteri verileri, kaynak kodu çalındı
- LockBit 3.0, Darktrace Siber Güvenlik Firmasının İhlal Edildiğine İlişkin Şüpheli İddiaları Yayınladı