Siber güvenlik araştırmacıları, bir telekom ağında hassas verilere yetkisiz erişime izin veren ve 3.000 şirketi kontrol eden kritik güvenlik açıklarını ortaya çıkardılar.
Araştırma, ağın arka uç API’lerinde, kimlik doğrulama sistemlerinde bariz güvenlik açıklarını ortaya çıkardı ve müşterinizi (KYC) süreçlerini biliyor ve telekomünikasyonda siber güvenlik durumu hakkında ciddi endişeler yarattı.
İstismar nasıl başladı?
Siber güvenlik araştırmacıları Abdulaziz ve Omar, telekom ağında özel karakterlerle manipüle edildiğinde olağandışı yanıtlar döndüren bir uç nokta keşfettiler.
Bu, yol geçiş teknikleri yoluyla bir arka uç API yolu tanımlamalarına yol açtı. Bir web uygulaması güvenlik duvarı (WAF) tarafından ilk bloklara rağmen, bu tür korumalardan yoksun alternatif bir üretim alanı buldular.
Araştırmacılar bu alandan yararlanarak dahili API’lara ve mikro hizmetlere eriştiler. Özellikle savunmasız bir uç nokta, /application.wadl, ödeme sisteminin mikro hizmetlerinin dahili belgelerini ortaya çıkardı.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Bu, kişisel olarak tanımlanabilir bilgiler (PII) ve hatta gerçek parmak izleri içeren hassas çalışan belgelerini almalarını sağladı. Başka bir uç nokta, cep telefonu numaralarıyla müşteri faturalarını maruz bırakarak kullanıcı gizliliğini daha da tehlikeye attı.
“Tüm çalışanlar gerçek parmak izleri, çalışanları PII’leriyle sınıflandırdı. KYC kontrolünü atladı, telefon numaralarını ele geçirmemize izin verdi. Araştırmacılar, önceki güvenlik açıklarını ikincil bağlam yoluyla atladı ”dedi.
Süper Yönetici Paneline Erişim
Araştırmacılar süper bir yönetici paneli buldular, ancak başlangıçta “405 yöntemine izin verilmeyen” hatası ile engellense de, doğrulama kontrollerini atlayan savunmasız bir posta isteği belirlediler.
JavaScript dosyalarını analiz ederek ve brute-force saldırılarını Burp Suite ve ChatGPT gibi araçlar aracılığıyla oluşturulan özel bir kelime listesi ile kullanarak, süper yönetici kimlik bilgilerini başarıyla elde ettiler.
Süper yönetici erişimi ile araştırmacılar, telekom şirketinin tüm şubeleri ve 3.000 yan kuruluşu üzerinde kontrol sahibi oldular. Bu, şifreleri, ulusal kimlikleri ve diğer hassas bilgileri değiştirme yeteneğini de içeriyordu.
KYC kontrollerini atlamak
Telekom ağının KYC doğrulama süreci bir başka zayıf bağlantıydı. Ön uç API’leri KYC kontrollerini titizlikle zorlarken, arka uç API’lerinin benzer korumaları yoktu. Araştırmacılar, kimlik doğrulamasını atlamak ve telefon numaralarını kontrollerine aktarmak için bu boşluğu kullandılar.
Bu güvenlik açığı, saldırganların SIM swapları gerçekleştirmesini sağlayarak, potansiyel olarak Bankacılık hesaplarına ve SMS tabanlı iki faktörlü kimlik doğrulamaya (2FA) bağımlı diğer kritik hizmetlere yetkisiz erişime yol açabilir.
Bu sorunların temel nedeni zayıf API güvenlik uygulamalarında yatmaktadır. Kimlik doğrulama ve yetkilendirme kontrolleri sadece ön uç düzeyinde uygulanırken, arka uç API’ları açıkta kaldı.
Uygun istek dezenfekte edilmesi ve yol normalleştirmesi, saldırganların bu boşlukları kolayca kullanmasına izin verdi.
Ayrıca, yetersiz kayıt ve izleme, kötü niyetli faaliyetlerin tespit edilmediği anlamına geliyordu. Telekom şirketi ayrıca oran sınırlama önlemleri veya hassas verileri yeterince şifrelemedi.
Bu olay, telekom ağlarında, güvenlik açıklarıyla bilinen SS7 ve çap gibi modası geçmiş protokollere güvenmek de dahil olmak üzere sistemik sorunları vurgulamaktadır.
Teminatsız API’lerin kullanımı son yıllarda önemli bir saldırı vektörü haline gelmiştir. Ayrıca, KYC süreçlerini atlamak sadece bireysel gizliliği tehdit etmekle kalmaz, aynı zamanda kimlik doğrulaması için telekom hizmetlerine dayanan finansal kurumlar için riskler de oluşturmaktadır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek