İçerik dağıtım ağı (CDN) sağlayıcılarının Web uygulaması güvenlik duvarı (WAF) hizmetlerini kullanan birçok kuruluş, yaygın bir yapılandırma hatası nedeniyle yanlışlıkla arka uç sunucularını İnternet üzerinden doğrudan saldırılara açık bırakıyor olabilir.
Son zamanlarda sorunun nedenini ve kapsamını araştıran Zafran’daki araştırmacılara göre sorun o kadar yaygın ki, WAF hizmetleri için CDN sağlayıcılarından yararlanan Fortune 100 şirketlerinin neredeyse %40’ını etkiliyor. Araştırmacıların saldırılara açık bulduğu kuruluşlar arasında Chase, Visa, Intel, Berkshire Hathaway ve UnitedHealth gibi tanınmış markalar da vardı.
Yaygın Sorun
WAF’ler kullanıcılar ve Web uygulamaları arasında aracı görevi görür. Trafiği çeşitli tehditlere karşı inceler ve şüpheli görülen veya bilinen kötü amaçlı etkinlik kalıplarıyla eşleşen her şeyi engeller veya filtrelerler. Son yıllarda pek çok kuruluş WAF’ları konuşlandırdı. Web uygulamalarını güvenlik açıklarına karşı koruyun yama yapmaya zamanları olmadı.
Kuruluşların, WAF’ları fiziksel veya sanal cihazlar biçimindeki şirket içi kurulumlar da dahil olmak üzere dağıtmak için birden fazla seçeneği vardır. Ayrıca bulut ve ana bilgisayar tabanlı WAF’ler de vardır.
Toplamda, Zafran yaklaşık 2.028 alan adı buldu Fortune 1000 listesinde yer alan 135 şirkete ait olan bu sunucular, bir saldırganın hizmet reddi (DoS) saldırıları başlatmak, fidye yazılımı dağıtmak ve diğer kötü niyetli faaliyetleri yürütmek için İnternet üzerinden doğrudan erişebileceği en az bir WAF korumalı sunucu içerir.
“Sorumluluk [for] yanlış yapılandırma öncelikle yatıyor [with] Zafran’ın baş teknoloji sorumlusu Ben Seri, CDN/WAF sağlayıcılarının müşterileri” diyor. Ancak WAF hizmetleri sunan CDN sağlayıcıları biraz sorumluluğu paylaş ayrıca müşterilere uygun riskten kaçınma tedbirleri sunamadıklarını ve ilk etapta yanlış yapılandırmaları önleyecek ağ ve hizmetler oluşturmadıklarını söylüyor.
Seri’nin açıkladığı gibi sorun, kuruluşların, kullanıcıların erişmeye çalıştığı gerçek içeriği, uygulamaları veya verileri barındıran arka uç kaynak sunuculara yönelik Web isteklerini yeterince doğrulamamasından kaynaklanıyor.
En İyi Uygulamaların Takip Edilmemesi
CDN ile entegre bir WAF hizmetiyle, Cloudflare veya Akamai gibi CDN sağlayıcısı, uç altyapısının bir parçası olarak WAF’ı sağlar. Bir kuruluşun Web uygulamalarına gelen tüm trafik, satıcının uç ağı içindeki bir ters proxy sunucusu olan CDN’nin WAF’si üzerinden yönlendirilir. Ters proxy, belirli bir Web isteğinin hangi arka uç sunucuya veya kaynağa yönelik olduğunu tanımlar ve ardından onu oraya şifreli bir şekilde yönlendirir. Zafran’a göre “Bu, bir CDN hizmeti WAF olarak kullanıldığında koruduğu web uygulamasının İnternet trafiğine açık olduğu ve yalnızca CDN hizmetinden ve CDN hizmeti tarafından kaynaklanan web trafiğine yanıt verdiğini doğrulamasının beklendiği anlamına gelir.” blog yazısı.
Müşteri en iyi uygulamaları kullanıyorsa arka uç sunucunun IP adresi yalnızca müşterinin ve CDN sağlayıcısının bileceği bir şeydir. CDN sağlayıcıları ayrıca, yalnızca CDN sağlayıcısının IP adresi aralığından gelen isteklerin arka uç sunuculara erişmesine izin verildiğinden emin olmak için kuruluşların IP filtreleme mekanizmaları eklemesini de önerir. Diğer öneriler arasında, yalnızca CDN sağlayıcısı ve arka uç sunucusu tarafından bilinen önceden paylaşılan dijital sırların bir doğrulama mekanizması olarak kullanılması ve hem kaynak sunucunun hem de CDN sağlayıcının proxy sunucusunun doğrulanması için karşılıklı TLS kimlik doğrulaması olarak bilinen yöntemin kullanılması yer alır.
Bu önlemler, doğru şekilde uygulandığında arka uç sunucuların korunmasında etkilidir. Ancak Zafran’ın keşfettiği şey, birçok kuruluşun bu önerilen doğrulama önlemlerinden hiçbirini benimsemediği ve bu nedenle arka uç sunucuların İnternet üzerinden doğrudan erişilebilir durumda kaldığıydı. Seri, “Bu, CDN/WAF tarafından korunmak üzere tasarlanmış Web uygulamalarının tüm İnternet trafiğine açık kalmasına neden olan bir doğrulama eksikliğidir” diyor. “Bu, özel bir S3 paketinin genel bir paket olarak İnternet’e açık bırakılmasına benziyor. Yalnızca bu durumda, yalnızca CDN sağlayıcısından gelen trafiğe izin vermek yerine, İnternet’e açık bırakılan Web uygulamaları korunur.”
Bulması Kolay
Zafran’ın araştırmacıları, durumu daha da kötüleştiren şeyin, kurumsal kaynaklı hizmetlerin IP adreslerinin çoğu kişinin sandığı kadar özel olmaması olduğunu buldu. Güvenlik sağlayıcısı, saldırganların ve araştırmacıların belirli bir kuruluşa ait tüm etki alanlarını keşfetmesi için nispeten kolay bir yer örneği olarak sertifika şeffaflığı (CT) günlüklerini gösterdi. CT günlükleri Sertifika yetkililerinin web sitesi operatörlerine verdiği tüm SSL/TLS sertifikalarının kamuya açık bir kaydını sağlamak ve sertifika verilmesi konusunda güveni ve hesap verebilirliği artırmak amacıyla. Maalesef saldırganların, kritik arka uç sunucuları ve hizmetleriyle ilişkili olanlar da dahil olmak üzere bir kuruluşa ait tüm etki alanları ve alt etki alanları hakkında ayrıntılı bilgi toplaması için bir başlangıç noktası da sağlarlar.
Seri, “Sorunun son derece yaygın olduğu ortaya çıktı” diyor. “Cloudflare tarafından korunmak üzere tasarlanan rastgele bir İnternet sunucusu örneğinden %13’ünün bu yanlış yapılandırmadan muzdarip olduğu tespit edildi. Bu, potansiyel olarak Cloudflare tarafından korunan tüm alanların %13’ünün doğrudan saldırıya uğrayabileceği anlamına geliyor.” Ne yazık ki CDN/WAF sağlayıcıları, bu tehdidi azaltmak için kendi yük dengeleyicilerini ve Web uygulamalarını kontrol eden müşterilerinin işbirliğine ihtiyaç duyuyor, diye ekliyor. Seri, Zafran’ın etkilenen şirketlerle ve etkilenen CDN/WAF sağlayıcılarıyla temasa geçerek bu yanlış yapılandırmanın tüm kapsamını hızlı bir şekilde belirlemelerine ve çözmelerine yardımcı olduğunu söylüyor.