Yanlış yapılandırma nedeniyle açığa çıkan Sky.com sunucuları

firataverbek

Güvenlik Uzmanı
Katılım
16 Ara 2020
Mesajlar
42
Tepki
19

CyberNews araştırmacıları, üretim verilerini içeren bir Sky.com alt etki alanında barındırılan açık bir yapılandırma dosyası buldu.​

Orijinal gönderi @ https://cybernews.com/news/sky-com-servers-exposed-via-misconfiguration/


CyberNews araştırmacıları, bir Sky.com alt etki alanında barındırılan, üretim düzeyinde veritabanı erişim kimlik bilgilerinin yanı sıra geliştirme uç noktalarının adreslerini içeren açık bir yapılandırma dosyası buldu.

Comcast'in bir yan kuruluşu olan Sky, %12'lik pazar payı ve 2020'de yaklaşık 13.4 milyar sterlinlik geliri, ayrıca 31.000'den fazla çalışanı ve 24 milyon müşterisi ile Avrupa'nın en büyük medya şirketidir . 2015 yılında Sky ve Molson Coors tarafından başlatılan UpLift Media, Birleşik Krallık'taki barlarda ve diğer eğlence mekanlarında dijital ekranları çalıştıran bir mekan içi dijital ekran reklam ağıdır.

Tehdit istihbaratı toplama operasyonu sırasında, Soruşturma ekibimiz, Sky medya holdingi tarafından barındırılan bir etki alanındaki birden çok veritabanına düz metin erişim kimlik bilgilerini içeren açıkta kalan bir yapılandırma dosyasıyla karşılaştı.

İlk olarak 7 Eylül'de bir IoT arama motorunda dizine eklenen yapılandırma dosyası, Sky.com'un 'upliftmedia' alt etki alanında barındırılan uygulamanın ana yapılandırma dosyası gibi görünüyor ve Sky'da barındırılan veritabanlarına düz metin erişim kimlik bilgilerini içeriyor. com alanı.

Dosyayı dizine ekleyen IoT arama motoru, dizine eklenen sızıntıların yalnızca "güvenilir kullanıcılar ve araştırmacılar" tarafından görülebildiği 30 günlük bir "ek süre" uygular. Bu, muhtemelen, arama motorunun personeli tarafından incelenen güvenlik araştırmacılarının, hizmette indekslenen açıkta kalan cihazları ve dosyaları güvence altına almasına yardımcı olmayı amaçlamaktadır.

Ancak şimdi, açıkta kalan yapılandırma dosyasının URL'si, kötü niyetli aktörler içerebilecek ücretsiz bir arama motoru hesabı olan herkes tarafından herkes tarafından görülebilir hale geldi.
Sorunu 8 Ekim'de Sky'a bildirdikten sonra, bir şirket temsilcisi CyberNews'e Sky'ın "sorunu çözmek için harekete geçtiğini" bildirdi. Yapılandırma dosyasına erişim şimdi devre dışı bırakıldı.

Çevrimiçi hesaplarınızdan herhangi birinin önceki güvenlik ihlallerine maruz kalıp kalmadığını görmek için , 15 milyardan fazla ihlal edilmiş kayıttan oluşan bir kitaplık içeren kişisel veri sızıntısı denetleyicimizi kullanın .

Yapılandırma dosyasında neler var?

Güvenli olmayan yapılandırma dosyası, diğer şeylerin yanı sıra şunları içeriyordu:

  • Sky.com alt etki alanında barındırılan veritabanlarına, localhost'tan (geliştirme dalı) Windows Server'a (üretim dalı) üretim düzeyinde erişim kimlik bilgileri (düz metin parolalar dahil).
  • Geliştirme uç noktalarına götüren IP adresleri ve alan adları – geliştiriciler tarafından test ve yineleme için kullanılan özel ortamlar.
Açıkta kalan veritabanı erişim kimlik bilgileri örneği:

sky.com
Not: Özel veri tabanlarına yetkisiz olarak erişmenin olası etik sonuçları nedeniyle araştırmacılarımız güvenli olmayan veri tabanlarına erişmemiştir.

Kimin erişimi vardı?

Yapılandırma dosyasına Sky tarafından güvence altına alınmadan önce herhangi bir kötü niyetli aktörün veya güvenlik araştırmacısının erişip erişmediği belirsiz olsa da, dosyanın yayınlanmasından en az 30 gün önce muhtemelen IoT arama motoru tarafından dizine eklendi.

Nereye bakacağını bilen herkes bu süre zarfında verilere erişmiş ve yapılandırma dosyasında bulunan kimlik doğrulama bilgilerini kötüye kullanmış olabilir.

Etkisi ne?

Veritabanlarına erişmeden, bu sızıntının Sky, UpLift Media veya müşterileri üzerindeki etkisini hesaplamak zor olurdu.

Üretim sunucusunda hangi verilerin depolandığını söylemenin bir yolu yoktur. Bununla birlikte, açıkta kalan yapılandırma dosyaları, bir şirketin sunucularını ve verilerini rehin alabilecek fidye yazılımı grupları için hızlı sızma kısayolları olarak hizmet edebilir.

Veritabanları kişisel kullanıcı bilgileri içeriyorsa, kimlik avcılarının bu verilere el koymasının etkisi çok büyük olabilir: Sky.com e-posta kimlik bilgileri, kötü niyetli aktörlerin spam filtrelerini atlayarak ve kurbanlarını kazanarak doğrudan Sky.com etki alanından kimlik avı e-postaları göndermesine izin verebilir. sürece güvenin.

Ek olarak, veritabanı erişim kimlik bilgilerinin kötüye kullanılması, tehdit aktörlerinin Sky.com web sunucusuna bir kabuk arayüzü yerleştirmesine yardımcı olabilir, bu da potansiyel olarak tüm web sitesinin ele geçirilmesine ve Sky'ın diğer kurumsal ağlarına genişletilmesine neden olabilir.

Dahili sunucular ve veritabanları için düz metin kimlik bilgilerini kaybetmek, herhangi bir şirket için felaket anlamına gelebilir. Ağın tamamen ele geçirilmesinin hem Sky'a hem de müşterilerine yol açacağı devasa bozulma kapsamı göz önüne alındığında, fidye yazılımı operatörleri veya bağlı kuruluşları karaborsada bu tür bir sızıntı için son derece cömert bir ödeme yapacaktır. Bu tür yanlış yapılandırmalar, fidye yazılımı kartelleri ve Sky'ın boyutundaki ve önemindeki şirketler tarafından yapılan hatalardan kâr elde etmek isteyen kötü aktörler için başlıca hedeflerdir .

Destek personelini sorumlu açıklama konusunda eğitmenin önemi

2021'de güvenlik ihlallerinden kaçınmak isteyen kuruluşların her zamankinden daha hızlı tepki vermesi gerekiyor, bu nedenle teknik destek personelinin sorumlu ifşa prosedürleri hakkında bilgi sahibi olması gerekiyor. Yanlış yapılandırma sorununu hızlı ve verimli bir şekilde çözdüğü için Sky'ı takdir etsek de, doğru kişiye ulaşmanın biraz zor olduğu kanıtlandı.

Ne yazık ki, sorunu anlayabilecek birine ulaşmadan önce, birbiriyle alakasız birkaç departmandan Sky destek personeli ile birden fazla telefon görüşmesi yaptık.

Ayrıca, Sky'ın sorumlu açıklama yardım sayfası , muhtemelen güvenlik araştırmacılarının (veya bu konuda herhangi birinin) güvenlik açıklarını ve güvenlik ihlallerini doğrudan Sky'ın genel mesaj panolarına bildirmesine olanak tanıyan bir 'Sky Topluluğuna Sor' düğmesi içerir. Düğmenin dahil edilmesinin bizi suskun bıraktığını söylemeye gerek yok.

Güvenlik ihlallerini bildirmek söz konusu olduğunda, her dakika önemlidir ve siber saldırıların sayısı benzeri görülmemiş oranlarda artarken, kuruluşların çok geç olmadan personeli güvenlik politikaları ve ifşa prosedürleri konusunda eğitmeye odaklanması gerekir.

açıklama

8 Ekim'de, onları sızıntı hakkında bilgilendirmek ve açıkta kalan yapılandırma dosyasının güvenliğini sağlamaya yardımcı olmak için Sky'a ulaştık. Ayrıca şirketten bir yorum istedik ve olayla ilgili başka sorular sorduk.

Aynı gün, bir Sky temsilcisi CyberNews'e bir iç soruşturmanın ardından dosyaya erişimin devre dışı bırakıldığını ve sunuculara artık erişilemediğini bildirdi.

Sky'dan daha fazla yorum alır almaz makaleyi güncelleyeceğiz.

Yazar hakkında: CyberNews Ekibi
 
Üst Alt