Ağ Pentest Bulguları
Geçtiğimiz yıl 10.000’den fazla otomatik iç ağ penetrasyon testi gerçekleştiren vPenTest, birçok işletmenin hala saldırganların kolayca faydalandığı kritik güvenlik açıklarına sahip olduğunu keşfetti.
Kuruluşlar, güvenlik duvarları, uç nokta koruması ve SIEM’lerin onları güvende tutacağına genellikle inanırlar. Ancak bu savunmalar test edildiğinde ne kadar etkili oldukları ne kadar doğrudur? İşte bu noktada, Vonahi Security’nin otomatik ağ pentesting platformu vPenTest devreye giriyor. Gerçek dünyadaki saldırı senaryolarını simüle etmek üzere tasarlanmış olan vPenTest, organizasyonların siber suçlular tarafından kullanılmadan önce istismar edilebilir güvenlik açıklarını bulmalarına yardımcı olur.
Bu, karmaşık sıfır gün açıkları değil. Saldırganların ağlara erişim sağlamak, yanlara hareket etmek ve ayrıcalıkları yükseltmek için rutin olarak kullandığı misconfigurations (yanlış yapılandırmalar), zayıf şifreler ve yamanmamış açıklar. İşte bu risklerin nasıl dağıldığı:
- %50’si yanlış yapılandırmalardan kaynaklanıyor – Varsayılan ayarlar, zayıf erişim kontrolleri ve göz ardı edilmiş güvenlik politikaları.
- %30’u eksik yamalardan kaynaklanıyor – Yamanmamış sistemler, bilinen açıklar için kapıları açık bırakıyor.
- %20’si zayıf şifrelerden kaynaklanıyor – Doğru kimlik doğrulama yapılmayan hizmetler, saldırganların sisteme kolayca girmesini sağlıyor.
Bu yazıda, en kritik iç ağ güvenlik risklerini ele alacağız, bunların ne olduğunu, neden tehlikeli olduklarını ve gerçek sorunlara dönüşmeden önce nasıl düzeltebileceğinizi anlatacağız. En az yaygın olandan en yaygın olana kadar sıralayacağız, yani vPenTest ile yapılan binlerce değerlendirmede en çok karşılaşılan sorunlardan başlayacağız. Bu zayıflıklar ortamınızda varsa, saldırganlar bunları mutlaka bulacaktır — sadece zaman meselesi.
10. Şifre Yetersizlikleri – Redis Servisi
CVSS3: 9.9
Görülme oranı: %1.3
Nedir:
Redis, önbellekleme, mesaj aracı ve gerçek zamanlı analiz için yaygın olarak kullanılan bir bellek içi anahtar-değer veri deposudur. Varsayılan olarak Redis, kimlik doğrulama uygulamaz, yani istemciler kimlik bilgileri olmadan bağlanabilir.
Güvenlik Etkisi:
Bir saldırgan Redis servisine erişim sağlarsa, sunucuda barındırılan veritabanlarında depolanan hassas verilere ulaşabilir ve kullanıcı hesabının izinlerine bağlı olarak ayrıcalık yükseltme yapabilir. Bu, yetkisiz veri manipülasyonu, veri sızdırılması veya sistemin daha fazla istismar edilmesiyle sonuçlanabilir.
Öneri:
Redis servisini, organizasyonun şifre politikasına uygun güçlü bir şifre gerektirecek şekilde yapılandırmak çok önemlidir. Güçlü bir şifre, en az 12 karakterden oluşmalı ve kolay tahmin edilemez olmalıdır.
9. Firebird Sunucuları Varsayılan Kimlik Bilgilerini Kabul Ediyor
CVSS3: 9.0
Görülme oranı: %1.4
Nedir:
Varsayılan kimlik bilgileri, sistemlerin ilk kurulumları için tasarlanmış, değiştirilmesi gereken sabit kullanıcı adı ve parolalardır. Bu sorun, sistemler kurulum sırasında yeniden yapılandırılmadığında veya varsayılan ayarlar gözden kaçtığında ortaya çıkar.
Güvenlik Etkisi:
Firebird sunucuları için varsayılan kimlik bilgileri kullanmak, saldırganların kimlik doğrulaması yapmasına ve etkilenen sistemlerde keşif yapmasına yol açabilir. Sunucuya erişim sağladıklarında, dosyaları sıralayabilir veya sistem yapılandırmalarını değiştirebilirler. Ayrıca, Firebird’ün bazı sürümleri, saldırganların sistem komutları çalıştırmasına olanak tanıyabilir, böylece saldırganın uzaktan sunucu üzerinde kontrol elde etmesini sağlayabilir.
Öneri:
Varsayılan kimlik bilgilerini değiştirmek için GSEC aracını kullanmak gereklidir. Ayrıca, tüm varsayılan ayarların kurulumdan önce değiştirilmesini sağlamak için düzenli kimlik bilgisi denetimleri yapılmalı ve erişim günlükleri izlenmelidir.
8. Microsoft Windows RCE (BlueKeep)
CVSS3: 9.8
Görülme oranı: %4.4
Nedir:
BlueKeep, Microsoft’un Uzak Masaüstü Protokolü’nde (RDP) uzaktan kod yürütme (RCE) açığıdır ve CVE-2019-0708 olarak tanımlanmıştır.
Güvenlik Etkisi:
BlueKeep açığının istismarı, saldırganın etkilenen sistemleri tam kontrol altına almasına olanak sağlar. Bu, organizasyonun altyapısında daha fazla saldırıyı kolaylaştırabilir, hassas verilerin sızdırılması gibi durumları da içerir. Saldırgan ayrıca ağ içinde yanlara hareket ederek diğer sistem ve hizmetleri ele geçirebilir. Bu açık, herhangi bir özel ayrıcalık veya kimlik doğrulama gerektirmediği için saldırganın işini kolaylaştırır ve organizasyon için ciddi bir risk oluşturur.
Öneri:
Etkilenen sistemlere ilgili güvenlik güncellemelerinin uygulanması acildir. Ayrıca, eksik güncellemelerden kaynaklanan problemleri tespit etmek için yama yönetimi süreçlerinin gözden geçirilmesi gereklidir.
7. Microsoft Windows RCE (EternalBlue)
CVSS3: 9.8
Görülme oranı: %4.5
Nedir:
EternalBlue, Microsoft Server Message Block (SMBv1) protokolündeki bir uzaktan kod yürütme açığıdır. Saldırgan, özel olarak hazırlanmış paketleri etkilenen bir sisteme göndererek, sisteme yetkisiz erişim elde edebilir ve sistem seviyesinde kod çalıştırabilir.
Güvenlik Etkisi:
EternalBlue açığının istismarı, saldırganın etkilenen sistem(ler)e tam yönetici erişimi elde etmesine yol açar. Bu, ağdaki diğer sistemlere sıçrama yapmayı, şifreleri ve şifre karmalarını sızdırmayı kolaylaştırır. Ayrıca, bu açık, sistemde ayrıcalık yükseltme yapmayı gerektirmez, yani saldırgan herhangi bir ek çaba sarf etmeden keşif yapabilir ve saldırılara devam edebilir.
Öneri:
EternalBlue açığına karşı koruma sağlamak için ilgili güvenlik yamalarının hemen uygulanması çok önemlidir. Yama yönetim programlarının gözden geçirilmesi, sistemlerdeki eksik güncellemeleri tespit etmek için gereklidir.
6. IPMI Kimlik Doğrulama Atlatma
CVSS3: 10.0
Görülme oranı: %15.7
Nedir:
Intelligent Platform Management Interface (IPMI), ağ yöneticileri tarafından sunucu(lar)ın merkezi yönetimi için kullanılan kritik bir donanım çözümüdür. Sunucuların IPMI ile yapılandırılması sırasında, kimlik doğrulama mekanizmalarını atlatmaya olanak tanıyan bazı güvenlik açıkları olabilir.
Güvenlik Etkisi:
Kimlik doğrulamanın atlatılması, parola karmalarını çıkarmaya ve zayıf şifreleme algoritmaları kullanıldığında bu parolaları düz metin halinde geri almak için saldırganlara fırsat sunar. Bu, saldırganın şifreli hizmetlere (SSH, Telnet vb.) yetkisiz erişim sağlamasına ve hizmetlerin kullanılabilirliği ile bütünlüğü üzerinde olumsuz etkiler yaratmasına yol açabilir.
Öneri:
IPMI hizmetlerine yalnızca gerekli olan sistemlerden erişim sağlanmalı, IPMI hizmeti gerekmiyorsa devre dışı bırakılmalıdır. Ayrıca, varsayılan parolalar değiştirilmelidir.
5. Güncel Olmayan Microsoft Windows Sistemleri
CVSS3: 9.8
Görülme oranı: %24.9
Nedir:
Güncel olmayan Microsoft Windows sistemleri önemli güvenlik riskleri oluşturur, çünkü Microsoft artık kritik güncellemeler sağlamamaktadır. Bu sistemler, bilinen açıklara karşı korunmasız hale gelir.
Güvenlik Etkisi:
Güncel olmayan Windows sistemleri, saldırganın sisteme yetkisiz erişim sağlamasına olanak verir. Bu tip açıklar, dosya sistemlerine tam erişim sağlanmasına ve sonrasında ağda izinsiz hareket etmeye yol açabilir.
Öneri:
Microsoft sistemlerinde güncel olmayan tüm sürümler hemen yükseltilmeli ve düzenli olarak güncellemeler yapılmalıdır.
4. IPv6 DNS Spoofing
CVSS3: 10.0
Oluşum Oranı: %49.9
Nedir:
IPv6 DNS spoofing riski, iç ağ altyapısına sahte bir DHCPv6 sunucusunun eklenmesiyle ortaya çıkar. Microsoft Windows sistemlerinin IPv4 yerine IPv6’yı tercih etmesi nedeniyle, IPv6 destekli istemciler, mevcut herhangi bir DHCPv6 sunucusundan IP adresi yapılandırmalarını almakta eğilimlidir.
Güvenlik Etkisi:
Sahte bir DHCPv6 sunucusunun dağıtılması, bir saldırganın DNS isteklerini manipüle etmesine olanak tanır ve IPv6 destekli istemcileri saldırganın sistemini DNS sunucusu olarak kullanmaya yönlendirir. Bu durum, kullanıcı bilgileri gibi hassas verilerin izinsiz ele geçirilmesine yol açabilir. Tüm DNS sorguları saldırganın sunucusuna yönlendirilirse, kurbanın sistemi, saldırganın altyapısındaki kötü niyetli hizmetlerle istemeden iletişim kurabilir. Bu hizmetler, SMB, HTTP, RDP ve MSSQL gibi platformları içerebilir.
Öneriler:
IPv6 DNS spoofing risklerini azaltmak için aşağıdaki stratejiler önerilmektedir:
- Ağ Katmanında Sahte DHCP Yönetimi: Ağ anahtarlarında ve güvenlik duvarlarında sahte DHCP tespiti, DHCP snooping ve DHCP kimlik doğrulama özelliklerini uygulayarak, yetkisiz DHCP sunucularını kontrol edin ve DNS spoofing saldırılarını azaltın.
- IPv4’ü Tercih Etme: Windows sistemlerini IPv6 yerine IPv4 kullanmaya yönlendirecek grup ilke nesneleri (GPO) veya grup ilke tercihler (GPP) kullanarak kayıt defteri değişikliklerini uygulayın. Ancak, bu yöntem Windows dışı cihazlarda saldırılara engel olmaz.
- IPv6’yı Devre Dışı Bırakma: Windows sistemlerinde genellikle önerilmese de, IPv6’yı devre dışı bırakma son çare olarak düşünülebilir, ancak bu işlem öncesinde kapsamlı testlerin yapılması önemlidir.
3. Link-Local Multicast Name Resolution (LLMNR) Spoofing
CVSS3: 9.8
Oluşum Oranı: %65.5
Nedir:
Link-Local Multicast Name Resolution (LLMNR), geleneksel DNS hizmetlerinin kullanılamadığı veya etkisiz olduğu iç ağlarda ad çözümleme için tasarlanmış bir protokoldür. LLMNR, DNS adlarını çözmek için bir yedekleme mekanizması olarak çalışır. Çözümleme süreci şu şekilde işler:
- Sistem önce yerel host dosyasına bakar ve DNS adıyla ilişkili bir IP adresi arar.
- Yerel bir kayıt bulunmazsa, sistem DNS sunucusuna yönlendirilir.
- DNS sunucusu çözümleme sağlamazsa, sistem LLMNR sorgusunu ağda yayınlar.
Güvenlik Etkisi:
LLMNR sorgularının yayınlanması, yerel ağdaki herhangi bir sistemin sorguya yanıt verebilmesini sağlar. Kötü niyetli kişiler, saldırganın sisteminin adresini içeren yanıtlara manipüle edebilir. Bu durum, SMB, MSSQL veya HTTP gibi hassas hizmetlerle ilişkili sorgularda önemli güvenlik açıkları oluşturabilir. Başarılı bir yönlendirme, hassas bilgilerin, açık metin veya karma hesap bilgileri de dahil olmak üzere, ele geçirilmesine olanak tanır.
Öneriler:
LLMNR spoofing riskini azaltmak için LLMNR işlevselliğini devre dışı bırakmak önemlidir:
- Grup İlke Yapılandırması: Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\DNS İstemcisine gidin ve ‘Multicast Ad Çözümlemesini Kapat’ seçeneğini Etkinleştirin.
- Kayıt Defteri Değişikliği: Windows Vista/7/10 Ev Sürümü için HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient yolunda ‘EnableMulticast’ anahtarını 0 olarak değiştirin veya silin.
2. NetBIOS Name Service (NBNS) Spoofing
CVSS3: 9.8
Oluşum Oranı: %73.3
Nedir:
NetBIOS Name Service (NBNS), bir DNS sunucusu kullanılamadığında, istemcilerin ağda ad çözümlemesi yapabilmesini sağlayan bir protokoldür. Çözümleme süreci şu şekildedir:
- Sistem, yerel host dosyasını kontrol eder.
- Eğer bir eşleşme yoksa, DNS sunucusuna sorgu gönderilir.
- Eğer DNS sunucusu yanıt vermezse, sistem ağda bir NBNS sorgusu yayınlar.
Güvenlik Etkisi:
NBNS sorgularının yayınlanması, yerel ağdaki herhangi bir cihazın yanıtlama olanağı sunar. Bu da kötü niyetli kişilerin yanıtlara sahte bir IP adresi ekleyerek trafiği yönlendirmelerine olanak verir. Bu, SMB, MSSQL ve HTTP gibi hassas hizmetlerin verilerinin, özellikle açık metin veya karma hesap bilgileriyle birlikte, saldırganın sistemine yönlendirilmesine yol açabilir.
Öneriler:
NBNS spoofing riskini azaltmak için NetBIOS hizmetini tüm ağdaki sistemlerde devre dışı bırakmak önerilir. Bu, DHCP seçenekleri, ağ adaptörü ayarları veya sistem kayıt defteri değişiklikleriyle yapılabilir.
1. Multicast DNS (mDNS) Spoofing
CVSS3: 9.8
Oluşum Oranı: %78.2
Nedir:
Multicast DNS (mDNS), yerel ağlarda DNS sunucusu bulunmadığında kullanılan bir ad çözümleme protokolüdür. Çözümleme süreci şu şekilde gerçekleşir:
- Sistem, yerel host dosyasına bakar.
- DNS sunucusu yoksa, IP multicast sorgusu gönderilir.
- Cihazlar yanıt verebilir, ancak kötü niyetli aktörler bunu manipüle edebilir.
Güvenlik Etkisi:
mDNS sorguları, yerel ağda herhangi bir cihaz tarafından yanıtlanabilir. Bu, saldırganın sisteminin IP adresini yanıta ekleyerek doğru bir sisteme yönlendirmeye yol açabilir. Bu durum, hassas bilgilerin, özellikle şifreli ya da açık metin kimlik bilgileriyle birlikte ele geçirilmesine neden olabilir.
Öneriler:
mDNS spoofing riskini azaltmak için mDNS işlevselliğini devre dışı bırakmak önemlidir. Windows sistemlerinde bu, ‘Multicast Ad Çözümlemesini Kapat’ grup ilke nesnesi ile yapılabilir. Alternatif olarak, UDP port 5353’ü Windows güvenlik duvarı üzerinden engellemek de bir seçenek olabilir.
Penetrasyon Testlerinin Güvenlik Açıklarını Ortaya Çıkarması
Yapılan analizler, güvenlik açıklarının çoğunun gelişmiş hackleme tekniklerinden ziyade basit, önlenebilir hatalardan kaynaklandığını göstermektedir. Zayıf parolalar, unutulmuş yapılandırmalar ve yamalanmamış sistemler, saldırganlar için kolay fırsatlar yaratmaktadır. Bu tür açıklar, sadece büyük şirketlerde değil, her büyüklükteki ağda sürekli olarak ortaya çıkmaktadır.
Penetrasyon testleri, gerçek bir saldırganın ağınıza girmeden önce güvenliğinizi test etmek gibidir. Bu testler, bir saldırganın nasıl girebileceğini, hareket edebileceğini ve yetkileri artırabileceğini ortaya koyar. Çoğu şirket güçlü savunmalarına rağmen hala gizli zayıflıklara sahip olabiliyor.
Problem şu ki, çoğu organizasyon hala yıllık pentestlere dayalı olarak uyum sağlıyor, bu da aylık kör noktaların ortaya çıkmasına neden oluyor. İşte Vonahi Security’nin vPenTest çözümü devreye giriyor. vPenTest, ağ pentestlerini otomatikleştirir ve bu sayede denetim beklemek yerine her zaman test ederek güvenlik açıklarını bulabilir ve düzeltebilirsiniz.
Siber tehditler hız kesmeden devam ederken, güvenlik testlerinin de durmaması gerekir. Manuel veya otomatik yapılması fark etmeksizin, düzenli ağ pentestleri, saldırganları geride bırakmanın anahtarıdır.
