Sızma Testlerinde En Sık Karşılaşılan 10 Güvenlik Açığı

Sızma Testlerinde En Sık Karşılaşılan 10 Güvenlik Açığı

Sızma testi sırasında bulunan en yaygın güvenlik açıklarının ne olduğunu hiç merak ettiniz mi? Kurumsal ağların tipik güvenlik sorunları nelerdir?

Bu makalede, sızma testi sırasında en çok bildirilen güvenlik açıklarının İlk 10 tanesini inceleyeceğiz.

Aşağıdaki bilgiler, 2020 ve 2019 yıllarında dünyanın dört bir yanından çeşitli orta ölçekli kuruluşlar ve işletmeler için üretilen 60’tan fazla sızma testi raporundan derlenmiştir.

Sızma Testi Metodolojisi

Testlerdeki amaç, bir white-box(grey-box) yaklaşımı kullanarak, fiziksel bir şekilde sahada sızma testi gerçekleştirmekti. Test için kullanılan araçlarla ilgili herhangi bir kısıtlama mevcut değil. Sızma testinin tek “grey-box” yanı, başlangıçta ağa erişimin danışmanlara sağlanmamasıydı.

Bu nedenle danışmanlar, ağ erişim kontrollerinin değerlendirmesinden sonra Ağ Düzeyinde engellenmeden gerçek testi gerçekleştirmek için beyaz listeye alındı.

Test daha sonra ağdaki tipik bir çalışan(Ayrıcalıklı olmayan kullanıcı) perspektifinden gerçekleştirildi.

Bu metodoloji en popüler seçeneklerden biridir. Mevcut güvenlik önlemlerini  veya uygulanabilecek diğer kontrolleri atlatmaya çalışmak yerine gerçek güvenlik açıklarına odaklanılmasını sağlamaktadır.

En büyük 10 güvenlik açığı

Liste en alttan yukarı olacak şekilde hazırlanmıştır.

10. Zayıf ve varsayılan parolalar

Zayıf ve varsayılan giriş bilgilerini denemek, her sızma testinin bir parçası olmalıdır. Bizim için de bu şekildeydi.

Zayıf ve varsayılan parolaları bulmak için arama yapmak oldukça zahmetli olabilir ve eğer gerçekten detaylı bir arama yapmak istiyorsanız, bir çok zaman hata ayıklama ve sorun gidermeniz gerekecektir. Bu yüzden manuel yaklaşım son derece etkisiz ve yorucudur.

Neyse ki, bu alanda kullanılabilecek birçok araç mevcut. Bu  durum pentest sırasında zayıf veya varsayılan kimlik bilgisinin bulunmama ihtimalini oldukça düşürmektedir. 

Veritabanları, SSH, Telnet, SNMP, ve diğer internet servisleri için genellikle Metasploit, Hydra, Medusa, Ncrack  vb. giriş saldırıları yapabilen araçlar kullanılmaktadır.

9. Güncelliğini Yitirmiş VMWare ESXi Kullanmak

Çoğu kuruluş altyapılarını sanallaştırmaktadır. Bu durum sanallaştımanın sadece uygun maliyetli olduğundan değil, aynı zamanda pratik olduğundandır.

Müşterilerimizin en çok kullandığı sanallaştırma çözümü VMware ESXi’dir. Kullanıcılardan çok azı kullandığı çözümü zamanında yamalamaktadır.

Bu güvenlik açığı genellikle Nessus tarafından tespit edilmektedir.

8. Şifrelerin yeniden kullanılması

Çalışan bir giriş bilgisi bulduğumuzda, onu diğer yerlerde de giriş yapmak için deneriz. Birçok kuruluşun aynı parolaları birden fazla yerde kullandığı ortaya çıktı.

Aslında 10 kuruluştan neredeyse 4’ü bu durumdan etkileniyor. Parola yönetimi ve varlık yönetimi söz konusu olduğunda doğru prosedürleri uygulamak gerçekten çok zordur.

Tipik senaryo, bir Windows makinesinin güvenliğinin ihlal edilmektedir. Bundan sonra genellikle olan şey, sızma testi uzmanları sistemden parola hashlerini(NTLM) toplayacaklar veya Mimikatz kullanarak LSASS’den düz metin olarak bulacaklardır.

Pentesterler daha sonra başka makinelerde de çalışıp çalışmadığını görmek için ağ üzerinden diğer cihazlarda parola veya hash bilgisi ile giriş yapmaya çalışacaklardır. Bunun için Metasploit > smb_login tarayıcı kullanmanın bir örneği aşağıdaki görselde mevcuttur:

Ama bu sadece bir örnek. Parolalar farklı sistemlerde, ağ cihazlarında vb cihazlarda aynı olarak kullanılmaktadır. Parolaların güvenli olmaması  genellikle başka tehlikelere yol açmaktadır.

7. Ağ Yapılandırılmasının Yetersiz Olması

Çoğu kuruluş, ağ yapılandırmasıyla ve VLAN oluşturmak ile ilgili sorunlar yaşamaktadır.

Örneğin, normal bir çalışanın Domain controller’a(Etki Alanı Denetleyici) uzak masaüstüyle (RDP) erişimine neden izin verilsin? Çalışanın çeşitli veritabanı arayüzlerine erişmesine neden izin verilmeli? Veya SSH sunucuları?

Müşterilerimize her zaman en az ayrıcalık ilkesine göre her şeyi mümkün olduğunca izole etmelerini tavsiye ederiz..

6. IPMI Parola Hash İfşası

Test edilen kuruluşların %40’ından fazlasının IPMI 2.0 parola hash ifşası güvenlik açığına sahip olduğu bulundu.

Bu güvenlik açığı temelde IPMI  protokolündeki bir tasarım hatasından dolayı olmaktadır ve bunu açığın bir yaması bulunmamaktadır.

IPMI hizmeti genellikle yönetim arayüzünün yanında udp / 623 portunu da dinler.

IPMI hizmetine erişildiği taktirde parola hash’lerini elde edebiliriz. Metasploit ipmi_dumphashes tarayıcısının kullanımına bir örnek:

Parolalar zayıfsa John the Ripper aracı ile kolayca kırabiliriz:

Nessus güvenlik açığı tarayıcısı genellikle taramalar sırasında bu güvenlik açığını tespit etmektedir. Metasploit ipmi_dumphashes modülünü de kullanmak ve hashleri kırmaya çalışmak her zaman iyidir.

5. SMB 1.0 Protokolü

Bir çok zaman karşılaştığımız kronik sorunlardan bir tanesi daha, Windows cihazların SMBv1’in desteklenmesidir.

SMBv1, doğası gereği güvensizdir ve aşağıdakiler de dahil olmak üzere birden çok güvenlik açığına sahiptir:

  • Uzaktan Kod Yürütme (RCE)
  • Servis Dışı Bırakma (DoS)
  • Ortadaki Adam Saldırısı (MitM)
  • Bilgi ifşası

Microsoft bile “SMBv1, hem sunucular hem de istemciler olmak üzere tüm Windows sistemlerinde devre dışı bırakılmalıdır” şeklinde tavsiyede bulunuyor.

Bu güvenlik açığı genellikle Nessus tarayıcısı tarafından tespit edilir, ancak Nmap’in smb-protocols script’i kullanılarak da tespit edilebilir:

4. NetBIOS’un TCP / IP Üzerinden Etkin Olması

Bu sorun, test edilen tüm kuruluşların %50’den fazlasında bulunmuştur.

Bu ayar tüm Windows sistemlerinde varsayılan olarak etkindir ve ağı ortadaki adam (MitM) saldırısı almasına neden olabilir.

Aşağıdaki 2 Windows protokolü sorunludur:

  • NBT-NS
  • LLMNR

Her ikisi de, aynı subnette bulunan makinelerin, DNS başarısız olduğunda ana bilgisayarları tanımlamasına yardımcı olan görünüşte zararsız bileşenlerdir. Bu nedenle, bir makine belirli bir ana bilgisayarı çözmeye çalışırsa ama DNS çözümlemesi başarısız olursa, makine yerel ağdaki diğer tüm makinelerden LLMNR veya NBT-NS aracılığıyla doğru adresi sormaya çalışır.

Bu, teoride zararsız görünüyor, ancak saldırganların sistemde kimlik bilgileri elde etmek için kullanabilecekleri büyük bir güvenlik açığı yaratıyor. Bu saldırıların Responder, Inveigh veya Impacket gibi araçlar sayesinde yapılması çok kolaydır

Bu araçlar, mağdurlar tarafından gönderilen broadcast isteklere otomatik olarak yanıt verir. Bu nedenle, net-NTLM parola hashlerini yakalanmasına veya kimlik doğrulamasını yeniden yaparak ağdaki diğer sistemlere doğrudan erişmesine neden olabilir.

Saldırının Responder ile nasıl göründüğü aşağıda mevcuttur.

Parola zayıfsa, başarılı bir şekilde kırabiliriz:

Artık bir etki alanı kullanıcı hesabımız var ve Active Directory’yi araştırmaya başlayabiliriz. 

3. Yamalanmamış Windows Sistemleri

Çok az sayıda kuruluş sistemlerin yamalanmasına önem vermektedir. Vakaların neredeyse %60’ında, ağda kritik bir güvenlik yamasının yüklenmemiş olduğu tespit edildi.

  • CVE-2020-0796 – SMBGhost
  • CVE-2019-0708 – BlueKeep
  • MS17-010 – EternalBlue
  • MS16-047
  • MS15-034

Bu sorunlar genel olarak Nessus güvenlik açığı tarayıcısı tarafından tespit edilmektedir, ancak Metasploit ve Nmap ayrıca bazı eksik yamaları uzaktan tespit etmek için modüller de mevcuttur.

Bu güvenlik açıkları, hedef sistemde en yüksek yetkiye(nt authority\system) sahip bir şekilde uzaktan kod yürütmeye(RCE) izin verdiği için genellikle kritik düzeyde sayılmaktadır.

2. SNMP Varsayılan topluluk dizeleri

SNMP protokolü, hedef sistem hakkında büyük miktarda bilgiyi açığa çıkarabilen bir teşhis protokolüdür:

Sorun, SNMP topluluk dizesinin, kimlik doğrulamanın tek yolu olmasıdır. Dolayısıyla, bir saldırgan SNMP topluluk dizesini tahmin ederse, hedef sistem hakkında ayrıntılı bilgi edinebilir ve ona karşı başka saldırılar planlayabilir.

Bunun yalnızca SNMP sürüm 1 ve 2 için geçerli olduğunu unutmayın. SNMP sürüm 3, şifrelemeli daha güçlü kimlik doğrulama mekanizması kullanmaktadır.

Bu sorun tipik olarak Nessus güvenlik açığı tarayıcısı tarafından tespit edilmektedir. Ancak Metasploit snmp_login modülünü kullanılarak çok daha iyi sonuçlar elde edilebilir.

Metasploit smb_login modülü, 120’den fazla varsayılan topluluk dizesini kontrol eder ve elde edilen erişimin salt okunur olup olmadığını veya etkilenen sistemin bazı ayarlarını değiştirip değiştiremeyeceğimizi de tespit edebilir.

1. Açık Metin(Clear Text) Protokolleri 

Verilerin Açık metin olarak iletildiği protokollerin kullanımını tespit ettiğimizde veya açık metin protokolleri kullanan ağ hizmetleri bulduğumuzda, bunları müşteriye bildiriyoruz.

Bu protokollerden bazıları:

  • FTP (tcp/21)
  • Telnet (tcp/23)
  • SMTP (tcp/25) düz kimlik doğrulamayı destekliyorsa
  • HTTP (tcp/80, tcp/8080 etc.) Oturum açma işlemleri varsa
  • POP3 (tcp/110)düz kimlik doğrulamayı destekliyorsa
  • IMAP4 (tcp/143) düz kimlik doğrulamayı destekliyorsa
  • SNMP (udp/161, udp/162) Versiyon 1 ve 2
  • LDAP (tcp/389)
  • VNC (tcp/5900)

Bu protokoller, iletişimi şifrelemedikleri için güvensizdir. Aradaki iletişimi dinleyebilen herhangi bir saldırgan, ağda dolaşan hassas bilgileri yakalayabilir.

Kaynak: https://www.infosecmatter.com/top-10-vulnerabilities-internal-infrastructure-pentest/ (Çeviri)

Related Posts

Leave a Reply