Ortak bir Azure hizmetinde yanlış yapılandırmalardan ve zayıf güvenlik denetimlerinden yararlanan bir saldırı zinciri, görünürlük eksikliğinin bulut platformlarının güvenliğini nasıl etkilediğini vurguluyor.
Ermetic, "EmojiDeploy" saldırı zincirinin, bir tehdit aktörünün Web sunucusunun izniyle rasgele kod çalıştırmasına, hassas verileri çalmasına veya silmesine ve hedeflenen bir uygulamanın güvenliğini aşmasına izin verebilir. 19 Ocak danışmanlığı. Ermetic'e göre, bir saldırgan, kullanıcıya açık bir bildirimde bulunmadan birçok Azure uygulaması tarafından kullanılan bir bulut hizmeti olan ortak Kaynak Kodu Yönetimi (SCM) hizmetini etkileyen üçlü güvenlik sorunu kullanabilir.
Ermetic araştırma başkanı Igal Gofman, sorunların, bulut platformlarının güvenliğinin, bu platformların arka planda ne yaptığına ilişkin görünürlük eksikliği nedeniyle zayıfladığını gösteriyor.
"Azure ve bulut hizmeti tüketicileri - işletmeler - her hizmete ve içindekilere aşina olmalı ve bulut sağlayıcıları tarafından sağlanan varsayılan ayarların her zaman güvenli olduğuna güvenmemelidir" diyor. "Bulut sağlayıcıları, bulut altyapılarının güvenliğini sağlamak için milyonlarca dolar harcasa da, yanlış yapılandırmalar ve güvenlik açıkları meydana gelecektir."
The EmojiDeploy araştırması güvenlik araştırmacıları tarafından son zamanlarda keşfedilen ve bulut platformlarında veri ihlallerine veya başka bir şekilde tehlikeye atılmış bulut hizmetlerine yol açabilecek diğer saldırı zincirlerine katılır. Örneğin, Ekim 2022'de araştırmacılar Atlassian'ın Jira Align'inde iki güvenlik açığı bulundu, tehdit gruplarının Atlassian hizmetine saldırmasına izin verebilecek çevik bir proje yönetimi uygulaması. Ocak 2022'de Amazon, Amazon Web Services (AWS) platformunda bir kullanıcının şunları yapmasına izin verebilecek iki güvenlik sorununu düzeltti: başka bir müşterinin bulut altyapısının kontrolünü ele geçirmek.
Bir saldırganın yalnızca alması gereken ortalama üç adım Bir analize göre, vakaların %78'inde genellikle bir güvenlik açığıyla başlayarak bulut hizmetlerindeki hassas verileri tehlikeye atmak.
Ermetic, "Bulut sistemleri oldukça karmaşıktır" dedi. "Çalıştığınız sistemin ve ortamın karmaşıklığını anlamak, onu savunmak için çok önemlidir."
Kaynak Kodu Yöneticisi İstismarı
Ermetic tarafından bulunan saldırı, Kaynak Kod Yöneticisi (SCM) için belirli bir tanımlama bilgisi yapılandırmasının güvensizliğinden yararlandı. Ermetic'in danışma belgesine göre Azure hizmeti, siteler arası komut dosyası çalıştırma (XSS) önleme ve siteler arası istek sahteciliği (XSRF) önleme olmak üzere iki denetimi varsayılan olarak "Gevşek" olarak ayarladı.
Ermetic araştırmacıları, bu ayarların etkilerini daha ayrıntılı bir şekilde araştırdıktan sonra, üç yaygın Azure hizmetinden (Azure App Service, Azure Functions ve Azure Logic Apps) herhangi birini kullananların güvenlik açığı aracılığıyla saldırıya uğrayabileceğini keşfetti. Saldırı, bu üç ana hizmetin geliştirme ve Web ekiplerinin Azure uygulamalarını yönetmesine izin vermek için Kaynak Kodu Yönetimi (SCM) panelini kullanması nedeniyle mümkün oldu. SCM, Git'e benzer bir .NET çerçevesi olan açık kaynak Kudu depo yönetimi projesine dayandığından, açık kaynak projesindeki siteler arası betik çalıştırma güvenlik açığı Azure SCM'yi de etkiler.
Ne yazık ki güvenlik ayarının net olmadığını belirten Ermetic, birçok kişinin Azure Web Hizmetleri müşterileri varlığından haberi bile olmayacaktı. SCM paneli.
Ancak tek bir güvenlik açığı yeterli değildir. Araştırmacılar, gevşek çerez güvenliğini, bulut hizmetinin web sitesinin her bileşeninin aynı kaynaktan geldiğine dair kontrolünü atlayan özel olarak hazırlanmış bir URL ile eşleştirdi. Ermetic, danışma belgesinde, iki bileşenin birleştirilmesinin tam bir kökenler arası saldırıya izin verdiğini belirtti. Üçüncü bir zayıflık, belirli eylemlerin veya yüklerin de saldırıya dahil edilmesine izin verdi.
Paylaşılan Sorumluluk Yapılandırma Şeffaflığı Demektir
Ermetic'ten Gofman, saldırı zincirinin, bulut sağlayıcılarının güvenlik kontrollerini daha şeffaf ve varsayılan olarak daha güvenli yapılandırmalar haline getirmeleri gerektiğinin altını çiziyor. Paylaşılan sorumluluk uzun süredir bulut güvenliğinin mantrası olsa da, bulut altyapı hizmetleri her zaman güvenlik kontrollerine kolay erişim veya entegrasyon sunmadı.
"Bulut, sağlayıcı ile müşteri arasında güvenlik için paylaşılan bir sorumluluk modeli kullandığından, varsayılan hizmet ayarlarının ve yapılandırmalarının farkında olmak önemlidir" diyor. “En az ayrıcalık ilkesini uygulamak ve ortak sorumluluk modelinin farkında olmak çok önemli.”
Emetic, Ekim ayında saldırı zincirini Microsoft'a bildirdi ve danışmana göre satıcı, Aralık ayı başına kadar Azure için küresel bir düzeltme yayınladı.
Ermetic, danışma belgesinde "Güvenlik açığının bir bütün olarak kuruluş üzerindeki etkisi, uygulamanın yönetilen kimliğinin izinlerine bağlıdır" dedi. "En az ayrıcalık ilkesini etkili bir şekilde uygulamak, patlama yarıçapını önemli ölçüde sınırlayabilir."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud/emojideploy-attack-chain-targets-misconfigured-azure-service
