SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Kayıtlar

KategoriAçık Servis / Ağ Yapılandırma Hatası
Tipik Önem DerecesiYüksek
OWASPA05:2021 – Güvenlik Yapılandırma Hatası
CWECWE-284 (Yetersiz Erişim Kontrolü), CWE-16 (Yapılandırma)
Etkilenen PortlarTCP 22 (SSH), TCP 3389 (RDP), TCP 23 (Telnet)
Diğer Adlarİnternete açık uzak erişim, kamuya açık yönetim arayüzleri
Etkilenen SistemlerLinux/Unix sunucuları, Windows sunucuları, ağ cihazları, yönetim arayüzü internete açık gömülü sistemler

Genel Bakış

SSH, RDP ve Telnet; sistemlere etkileşimli uzak kabuk veya masaüstü erişimi sağlamak amacıyla tasarlanmış yönetimsel protokollerdir. Bu servisler, yeterli erişim denetimi uygulanmadan internet yönlü ağ arayüzlerine bağlandığında, internetteki herhangi bir ana bilgisayar tarafından doğrudan erişilebilir hale gelir. Otomatik tarayıcılar, botnet'ler ve hedefli saldırganlar, bu iyi bilinen portlar için tüm yönlendirilebilir IP aralığını sürekli olarak tarar. Telnet, ek olarak kimlik bilgileri de dahil olmak üzere tüm verileri düz metin olarak ilettiğinden taşıma katmanı gizliliği sağlamaz ve daha yüksek risk barındırır.

Sensagraph, kamuya açık IP adresleri ve portlarda erişilebilir uzak erişim servislerini otomatik olarak tespit eder.

Nasıl çalışır?

Saldırganlar, kamuya açık uzak erişim servislerini birçok farklı teknikle istismar eder:

  • Kimlik bilgisi kaba kuvvet saldırısı ve parola spreyleme: Otomatik araçlar (Hydra, Medusa, özel botnet'ler), SSH ve RDP uç noktalarına karşı yaygın kullanıcı adı/parola kombinasyonlarını sistematik biçimde dener. Varsayılan veya zayıf kimlik bilgileri sıklıkla başarılı olur.
  • Kimlik bilgisi doldurma (credential stuffing): Başka servislerdeki veri ihlallerinden elde edilen kimlik bilgileri, parola yeniden kullanımından yararlanmak amacıyla açık uzak erişim portlarına karşı denenir.
  • Protokol düzeyinde güvenlik açığı sömürüsü: Uygulamalardaki kritik güvenlik açıkları — RDP için BlueKeep (CVE-2019-0708) ve DejaBlue (CVE-2019-1181/1182) veya OpenSSH bellek bozulması hataları gibi — geçerli kimlik bilgisi gerektirmeksizin kimlik doğrulama öncesi uzaktan kod çalıştırmaya olanak tanır.
  • Telnet üzerinde ortadaki adam (MitM) saldırıları: Telnet herhangi bir şifreleme veya sunucu doğrulaması sağlamadığından, ağ katmanındaki herhangi bir saldırgan oturumları ele geçirebilir ve kimlik bilgilerini düz metin olarak toplayabilir.
  • Keşif ve parmak izi alma: Açık servisler, sürüm başlıkları sızdırır (örn. SSH-2.0-OpenSSH_7.4). Bu bilgiler, saldırganların eski veya savunmasız daemon sürümlerini tanımlamasına ve bilinen CVE'leri hassas biçimde hedeflemesine imkân tanır.
  • Yanal hareket: İnternete açık uzak erişim servisinden ilk erişim sağlandıktan sonra saldırganlar, ele geçirilen sisteme güvenen dahili ana bilgisayarlara yanal olarak ilerlemek için aynı protokolleri kullanır.

İş etkisi

Kamuya açık uzak erişim servislerinin başarılı biçimde istismar edilmesi, ele geçirilen ana bilgisayara işletim sistemi düzeyinde tam, kalıcı ve etkileşimli erişimle sonuçlanabilir. Olası etkiler şunlardır:

  • Tam sistem ele geçirme: Kabuk veya masaüstü erişimine sahip saldırganlar kötü amaçlı yazılım yükleyebilir, ana bilgisayarda saklanan veya erişilebilen tüm verileri sızdırabilir ve kalıcı arka kapılar oluşturabilir.
  • Fidye yazılımı dağıtımı: RDP, kurumsal fidye yazılımı olaylarının büyük çoğunluğunda birincil ilk erişim vektörü olarak gösterilmektedir. RDP erişimine sahip saldırganlar yedekleri devre dışı bırakabilir, verileri şifreleyebilir ve ağ genelinde yanal olarak hareket edebilir.
  • Veri sızdırma ve mevzuat yaptırımları: Kişisel veri barındıran sistemlere yetkisiz erişim, KVKK, GDPR, HIPAA, PCI DSS ve benzeri mevzuat çerçevelerinde ihlal bildirim yükümlülüklerini tetikler.
  • Botnet'e dahil edilme: Ele geçirilen sistemler sıklıkla DDoS yükseltme, kripto madenciliği veya spam kampanyaları için botnet'lere eklenerek itibar ve hukuki sorumluluk doğurur.
  • Tedarik zinciri riski: Hizmet sağlayıcılar veya yönetilen hizmet sağlayıcıları için ele geçirilen bir yönetim uç noktası, müşteri ortamlarını zincirleme etkileyebilir.

Nasıl düzeltilir?

  1. Ağ katmanında erişimi kısıtlayın: TCP 22, 3389 ve 23 numaralı portlara internetten gelen bağlantıları güvenlik duvarı veya güvenlik grubu düzeyinde engelleyin. Açık ve belgelenmiş bir iş gereksinimi olmadıkça bu servisler hiçbir zaman doğrudan internete erişilebilir olmamalıdır.
  2. Ön koşul olarak VPN veya Sıfır Güven Ağ Erişimi (ZTNA) zorunlu kılın: Uzak yönetimsel erişim, yalnızca VPN ağ geçidi veya ZTNA çözümü üzerinden kimliği doğrulanmış ve şifreli tünelleme sonrasında mümkün olmalıdır. Yönetim servisi internet üzerinden yönlendirilemez durumda kalmalıdır.
  3. Telnet'i tamamen devre dışı bırakın: Telnet gizlilik veya bütünlük sağlamaz. Tüm Telnet kullanımını SSH ile değiştirin. Ağ cihazlarında Telnet dinleyicisini devre dışı bırakın ve SSHv2'yi zorunlu kılın.
  4. SSH sertleştirmesi uygulayın: Parola kimlik doğrulamasını devre dışı bırakın; yalnızca açık anahtar kimlik doğrulamasını zorunlu kılın. Root girişini devre dışı bırakın (PermitRootLogin no). İzin verilen kullanıcıları/grupları kısıtlayın. Yalnızca SSH protokol sürüm 2'yi kullanın. Belirsizlik için varsayılan dışı bir port düşünülebilir (yalnızca derinlemesine savunma, birincil kontrol değil).
  5. RDP için Ağ Düzeyi Kimlik Doğrulaması'nı (NLA) etkinleştirin: NLA, RDP oturumu kurulmadan önce kimlik doğrulamasını zorunlu kılar ve RDP yığınının kimlik doğrulama öncesi istismarını engeller. Grup İlkesi aracılığıyla NLA'yı zorunlu kılın.
  6. Çok faktörlü kimlik doğrulama (MFA) uygulayın: Tüm uzak erişim oturumları için MFA zorunlu kılın. Bu, kimlik bilgileri ele geçirilmiş olsa dahi kimlik bilgisi tabanlı saldırıları hafifletir.
  7. IP izin listesi (allowlist) uygulayın: VPN'in mümkün olmadığı durumlarda, güvenlik duvarı kuralları veya ana bilgisayar tabanlı erişim denetimleri (örn. /etc/hosts.allow, Windows Güvenlik Duvarı kuralları) kullanarak erişimi bilinen yönetimsel IP aralıklarıyla kısıtlayın.
  8. Servisleri güncel tutun: OpenSSH, Windows Uzak Masaüstü Hizmetleri ve ilgili tüm işletim sistemi bileşenleri için güvenlik yamalarını derhal uygulayın. Satıcı güvenlik bildirimlerine abone olun.
  9. Günlük kaydı ve uyarı mekanizması kurun: Tüm kimlik doğrulama girişimlerini (başarılı ve başarısız) merkezi bir SIEM'e kaydedin. Anormal oturum açma kalıplarını, başarısız oturum açma eşiklerini ve beklenmedik coğrafyalardan yapılan girişleri izleyin.
  10. Ayrıcalıklı erişim iş istasyonu (PAW) modeli benimseyin: Sunuculara yönetimsel erişim, yalnızca genel amaçlı iş istasyonlarından değil, adanmış ve sertleştirilmiş yönetim ana bilgisayarlarından gerçekleştirilmelidir.

Kaynaklar

Sıkça sorulan sorular

Parola kimlik doğrulamasını devre dışı bırakıp açık anahtar kimlik doğrulamasını zorunlu kılmak, kimlik bilgisi kaba kuvvet riskini önemli ölçüde azaltır; ancak servis, protokol düzeyindeki güvenlik açığı sömürüsüne karşı hâlâ savunmasızdır. SSH daemon'daki yamasız herhangi bir CVE (örneğin kimlik doğrulama öncesi bellek bozulması açığı) uzaktan kod çalıştırmaya imkân tanıyabilir. En iyi uygulama, anahtar tabanlı kimlik doğrulamanın yanı sıra SSH'ı VPN veya ZTNA ağ geçidinin arkasına almak ve yalnızca bilinen IP aralıklarına izin vermektir.

Telnet, tüm verileri (parolalar dahil) düz metin olarak ilettiğinden pasif ele geçirmeyi önemsiz kılar ve en yüksek temel riski barındırır. RDP, tarihsel olarak fidye yazılımı saldırılarında en aktif biçimde silahlandırılan protokol olmuştur ve önemli sayıda kritik kimlik doğrulama öncesi güvenlik açığına (BlueKeep, DejaBlue) sahiptir. SSH, anahtar kimlik doğrulamasıyla düzgün yapılandırıldığında ve güncel tutulduğunda üçünün en güvenlisidir; ancak yine de gereksiz yere internete açılmamalıdır.

Varsayılan portu değiştirmek çok sınırlı bir güvenlik faydası sağlar; sofistike olmayan tarayıcılardan gelen gürültüyü azaltır, ancak tam port taraması yapacak ciddi hiçbir saldırgana karşı etkili değildir. Bu, en iyi ihtimalle derinlemesine savunma tedbiri olarak değerlendirilir ve VPN erişimli güvenlik duvarı gibi uygun erişim denetimleri ile asla ikame edilmemelidir.

Saldırganlar, internet genelinde tarama hizmetlerini (Shodan, Censys, FOFA gibi) ve kendi tarama altyapılarını kullanarak açık portlar için tüm yönlendirilebilir IPv4 ve IPv6 adreslerini sürekli olarak tarar. Shodan gibi servisler, açık SSH, RDP ve Telnet uç noktalarını neredeyse gerçek zamanlı olarak dizine ekler ve bunları herkes tarafından kolayca keşfedilebilir kılar.

RDP, olay müdahale firmları ve hükümet kurumları (CISA, NCSC) tarafından fidye yazılımı olaylarında sürekli olarak en yaygın ilk erişim vektörü olarak tanımlanmaktadır. Saldırganlar ya zayıf RDP kimlik bilgilerini kaba kuvvetle ele geçirir ya da karanlık web pazarlarında daha önce ele geçirilmiş RDP kimlik bilgilerini satın alarak etkileşimli oturum açar, uç nokta koruma ve yedekleme mekanizmalarını devre dışı bırakır ve fidye yazılımı dağıtır. İnternete açık RDP maruziyetini ortadan kaldırmak, bir kuruluşun uygulayabileceği en yüksek etkili tek kontrol tedbirlerinden biridir.