Genel Bakış
SSH, RDP ve Telnet; sistemlere etkileşimli uzak kabuk veya masaüstü erişimi sağlamak amacıyla tasarlanmış yönetimsel protokollerdir. Bu servisler, yeterli erişim denetimi uygulanmadan internet yönlü ağ arayüzlerine bağlandığında, internetteki herhangi bir ana bilgisayar tarafından doğrudan erişilebilir hale gelir. Otomatik tarayıcılar, botnet'ler ve hedefli saldırganlar, bu iyi bilinen portlar için tüm yönlendirilebilir IP aralığını sürekli olarak tarar. Telnet, ek olarak kimlik bilgileri de dahil olmak üzere tüm verileri düz metin olarak ilettiğinden taşıma katmanı gizliliği sağlamaz ve daha yüksek risk barındırır.
Sensagraph, kamuya açık IP adresleri ve portlarda erişilebilir uzak erişim servislerini otomatik olarak tespit eder.
Nasıl çalışır?
Saldırganlar, kamuya açık uzak erişim servislerini birçok farklı teknikle istismar eder:
- Kimlik bilgisi kaba kuvvet saldırısı ve parola spreyleme: Otomatik araçlar (Hydra, Medusa, özel botnet'ler), SSH ve RDP uç noktalarına karşı yaygın kullanıcı adı/parola kombinasyonlarını sistematik biçimde dener. Varsayılan veya zayıf kimlik bilgileri sıklıkla başarılı olur.
- Kimlik bilgisi doldurma (credential stuffing): Başka servislerdeki veri ihlallerinden elde edilen kimlik bilgileri, parola yeniden kullanımından yararlanmak amacıyla açık uzak erişim portlarına karşı denenir.
- Protokol düzeyinde güvenlik açığı sömürüsü: Uygulamalardaki kritik güvenlik açıkları — RDP için BlueKeep (CVE-2019-0708) ve DejaBlue (CVE-2019-1181/1182) veya OpenSSH bellek bozulması hataları gibi — geçerli kimlik bilgisi gerektirmeksizin kimlik doğrulama öncesi uzaktan kod çalıştırmaya olanak tanır.
- Telnet üzerinde ortadaki adam (MitM) saldırıları: Telnet herhangi bir şifreleme veya sunucu doğrulaması sağlamadığından, ağ katmanındaki herhangi bir saldırgan oturumları ele geçirebilir ve kimlik bilgilerini düz metin olarak toplayabilir.
- Keşif ve parmak izi alma: Açık servisler, sürüm başlıkları sızdırır (örn.
SSH-2.0-OpenSSH_7.4). Bu bilgiler, saldırganların eski veya savunmasız daemon sürümlerini tanımlamasına ve bilinen CVE'leri hassas biçimde hedeflemesine imkân tanır. - Yanal hareket: İnternete açık uzak erişim servisinden ilk erişim sağlandıktan sonra saldırganlar, ele geçirilen sisteme güvenen dahili ana bilgisayarlara yanal olarak ilerlemek için aynı protokolleri kullanır.
İş etkisi
Kamuya açık uzak erişim servislerinin başarılı biçimde istismar edilmesi, ele geçirilen ana bilgisayara işletim sistemi düzeyinde tam, kalıcı ve etkileşimli erişimle sonuçlanabilir. Olası etkiler şunlardır:
- Tam sistem ele geçirme: Kabuk veya masaüstü erişimine sahip saldırganlar kötü amaçlı yazılım yükleyebilir, ana bilgisayarda saklanan veya erişilebilen tüm verileri sızdırabilir ve kalıcı arka kapılar oluşturabilir.
- Fidye yazılımı dağıtımı: RDP, kurumsal fidye yazılımı olaylarının büyük çoğunluğunda birincil ilk erişim vektörü olarak gösterilmektedir. RDP erişimine sahip saldırganlar yedekleri devre dışı bırakabilir, verileri şifreleyebilir ve ağ genelinde yanal olarak hareket edebilir.
- Veri sızdırma ve mevzuat yaptırımları: Kişisel veri barındıran sistemlere yetkisiz erişim, KVKK, GDPR, HIPAA, PCI DSS ve benzeri mevzuat çerçevelerinde ihlal bildirim yükümlülüklerini tetikler.
- Botnet'e dahil edilme: Ele geçirilen sistemler sıklıkla DDoS yükseltme, kripto madenciliği veya spam kampanyaları için botnet'lere eklenerek itibar ve hukuki sorumluluk doğurur.
- Tedarik zinciri riski: Hizmet sağlayıcılar veya yönetilen hizmet sağlayıcıları için ele geçirilen bir yönetim uç noktası, müşteri ortamlarını zincirleme etkileyebilir.
Nasıl düzeltilir?
- Ağ katmanında erişimi kısıtlayın: TCP 22, 3389 ve 23 numaralı portlara internetten gelen bağlantıları güvenlik duvarı veya güvenlik grubu düzeyinde engelleyin. Açık ve belgelenmiş bir iş gereksinimi olmadıkça bu servisler hiçbir zaman doğrudan internete erişilebilir olmamalıdır.
- Ön koşul olarak VPN veya Sıfır Güven Ağ Erişimi (ZTNA) zorunlu kılın: Uzak yönetimsel erişim, yalnızca VPN ağ geçidi veya ZTNA çözümü üzerinden kimliği doğrulanmış ve şifreli tünelleme sonrasında mümkün olmalıdır. Yönetim servisi internet üzerinden yönlendirilemez durumda kalmalıdır.
- Telnet'i tamamen devre dışı bırakın: Telnet gizlilik veya bütünlük sağlamaz. Tüm Telnet kullanımını SSH ile değiştirin. Ağ cihazlarında Telnet dinleyicisini devre dışı bırakın ve SSHv2'yi zorunlu kılın.
- SSH sertleştirmesi uygulayın: Parola kimlik doğrulamasını devre dışı bırakın; yalnızca açık anahtar kimlik doğrulamasını zorunlu kılın. Root girişini devre dışı bırakın (
PermitRootLogin no). İzin verilen kullanıcıları/grupları kısıtlayın. Yalnızca SSH protokol sürüm 2'yi kullanın. Belirsizlik için varsayılan dışı bir port düşünülebilir (yalnızca derinlemesine savunma, birincil kontrol değil). - RDP için Ağ Düzeyi Kimlik Doğrulaması'nı (NLA) etkinleştirin: NLA, RDP oturumu kurulmadan önce kimlik doğrulamasını zorunlu kılar ve RDP yığınının kimlik doğrulama öncesi istismarını engeller. Grup İlkesi aracılığıyla NLA'yı zorunlu kılın.
- Çok faktörlü kimlik doğrulama (MFA) uygulayın: Tüm uzak erişim oturumları için MFA zorunlu kılın. Bu, kimlik bilgileri ele geçirilmiş olsa dahi kimlik bilgisi tabanlı saldırıları hafifletir.
- IP izin listesi (allowlist) uygulayın: VPN'in mümkün olmadığı durumlarda, güvenlik duvarı kuralları veya ana bilgisayar tabanlı erişim denetimleri (örn.
/etc/hosts.allow, Windows Güvenlik Duvarı kuralları) kullanarak erişimi bilinen yönetimsel IP aralıklarıyla kısıtlayın. - Servisleri güncel tutun: OpenSSH, Windows Uzak Masaüstü Hizmetleri ve ilgili tüm işletim sistemi bileşenleri için güvenlik yamalarını derhal uygulayın. Satıcı güvenlik bildirimlerine abone olun.
- Günlük kaydı ve uyarı mekanizması kurun: Tüm kimlik doğrulama girişimlerini (başarılı ve başarısız) merkezi bir SIEM'e kaydedin. Anormal oturum açma kalıplarını, başarısız oturum açma eşiklerini ve beklenmedik coğrafyalardan yapılan girişleri izleyin.
- Ayrıcalıklı erişim iş istasyonu (PAW) modeli benimseyin: Sunuculara yönetimsel erişim, yalnızca genel amaçlı iş istasyonlarından değil, adanmış ve sertleştirilmiş yönetim ana bilgisayarlarından gerçekleştirilmelidir.
Kaynaklar
- OWASP Top 10 A05:2021 – Güvenlik Yapılandırma Hatası
- CWE-284: Yetersiz Erişim Kontrolü – MITRE
- CWE-16: Yapılandırma – MITRE
- CVE-2019-0708 BlueKeep – NVD
- CISA Duyurusu AA21-131A: DarkSide Fidye Yazılımı – İlk Erişim Vektörü olarak RDP
- CIS Kılavuzları – SSH Sertleştirme Rehberi
- Microsoft Belgeleri: NLA ile RDP'yi Güvenli Hale Getirme
- RFC 4251 – Güvenli Kabuk (SSH) Protokol Mimarisi (IETF)
- RFC 854 – Telnet Protokol Spesifikasyonu (IETF)