En Son Yayınlanan SAP Zafiyetleri ve SAP Güncellemeleri

Yakın zamanda Hackerlar SAP'den Ne İstiyor? konu başlıklı bir yazı yayınlamıştık.
Bu yazımızda ise saldırıların oluşmasına yol açan açıklıklara dair detayları ve önlemleri işleyeceğiz.

11 Nisan tarihinde yayınlanan SAP güvenlik bülteninde, 24 ayrı konu belirtilmekte, bunların 5'i geçmiş güncellemeler ile çözülmüşken, bazılarınınsa çok yeni olduğu ve çok yüksek düzeyli risk içerdiğini görmekteyiz.

Liste başı risklerden bazıları;

CVE-2023-27267: SAP Diagnostics Agent, sürüm 720'nin OSCommand Bridge'i etkileyen yetersiz giriş doğrulaması ve eksik kimlik doğrulama sorunu, bir saldırganın bağlı agent'lar üzerinde komut dizileri yürütmesine ve sistemin tamamen tehlikeye atılmasına olanak tanıyor. (CVSS v3.1 puanı: 9.0)

CVE-2023-28765: SAP BusinessObjects Business Intelligence Platform (Promotion Management), sürüm 420 ve 430'u etkileyen, temel ayrıcalıklara sahip bir saldırganın lcmbiar dosyasına erişmesine ve şifresini çözmesine olanak tanıyan bilgilerin açığa çıkmasına dair güvenlik açığıdır. Bu açık, saldırganın platform kullanıcılarının parolalarına erişmesine ve ek kötü amaçlı eylemler gerçekleştirmek için hesaplarını ele geçirmesine olanak tanır. (CVSS v3.1 puanı: 9.8)

CVE-2023-29186: SAP NetWeaver sürüm 707, 737, 747 ve 757'yi etkileyen ve bir saldırganın güvenlik açığı bulunan SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanıyan dizin geçiş kusurudur. (CVSS v3.1 puanı: 8.7)

Açıkların tespit edildiği bu aşamada, SAP'nin çok kısa süredeki çalışmaları ile güncellemelerini hazır hale getirmesi ve yayınlaması dahi yeterli olmuyor.

(Geçmiş yazımızdan kısa bir hatırlatma; ortalama 72 saat içerisinde tespit edilebilmiş bir zafiyeti gideren güncelleme yayınlanabilse de, yayınlanan bu güncelleme haberinden sonra, ortalama 3 saat içerisinde saldırganlar bunu takip ediyor, erişiyor ve 1.5 saat içerisinde de tam başarılı bir saldırıyı tamamlayabiliyorlar.)

Saldırı hızlarının yüksek düzeyde olduğunu, savunma hızına kıyasla saldırganların çok avantajlı olduklarını söyleyebiliriz. Bu durumda ya zamanla yarışmak ya da en baştan planlı davranmak gerekiyor. (Bu konudaki çözümümüzü hatırlatmanın da tam yeri: TINA ISOLATOR detaylı bilgi)

Zaman Yarışı İle Savunma

SAP'nin 180 ülkede, 425.000 müşterisiyle küresel pazar payının %24'üne sahip olduğu, dünyanın en büyük ERP satıcısı olduğu bilinmekte, ayrıca Forbes Global 2000'in %90'ından fazlasının SAP'nin ERP, SCM, PLM ve CRM ürünlerini kullandığı belirtilmektedir.

Dolayısıyla saldırganlar çıkarları için her zaman büyük kurumsal ağlarda kullanılan SAP (veya benzeri yaygın ürünler) üzerinde kritik önemdeki kusurları arar haldeler.

Saldırganlar bir kaç ayrı çeşit kitleden oluşmakta; ileri düzey organize olmuş ve yüksek tekniğe sahip olanlar açıklığın yayınlanmasından önce onları kendi denemeleri ile bulup zafiyetten faydalanabilirken, kimi zaman da zafiyet ve/veya yama duyuruları yapıldıktan sonra zafiyetlerin kullanılması için hızlıca İnternet'i tarayan, bu taramalara yönelik kodlar yazan ve/veya dağıtan saldırgan kitleler de mevcut.

Özellikle yama yayınları duyurulduktan sonra, yamaların hızlı şekilde uygulanması riskin sona erdirilebilmesi için önemlidir, bu şekilde aksiyon alınması son dakika saldırı-savunma yarışında başarılı olunmasını sağlamaktadır.

Ancak, çalışılmakta olan yoğun tempoda fark edilmemesi, şartların uygun bulunmaması (donanım, insan kaynağı, bütçe vb.), servis veren sistemin müsait olmaması, ciro kaybı veya operasyonel durma riski gibi sebeplerden yamaların uygulanması genellikle gecikmekte.

Kimi zaman da yamaların yaratabildiği uyumsuzluk/verimsizlik/ani problemler gibi sebepler, güvensizlik doğurmakta, büyük (major) versiyon yükseltmeleri uygulanırken, tedirginlikten ötürü geçişlerin ertelenmesine yol açmakta.

Tam da bu nokta; geciken yamalar, riskin en yüksek düzeye ulaştığı anlar olarak en korkutucu dönemleri oluşturuyor.

Alternatif Çözüm: En Baştan Planlama, Yatırım ile Savunma

Güvenli erişim için ihtiyaç duyulan sebepleri burada kısaca hatırlatmak gerekirse:

(detayları içeren yazımız ise burada: En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA)

• Kurum iç ağından doğrudan erişim
• VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
• İnternet üzerinden herhangi bir uç noktadan direkt erişim

Eğer bu tür veya benzer düzeyde erişim ihtiyaçları varsa ve SAP'nin servis vermeyi hedeflediği kitle sınırlı ise; örneğin iş ortakları, tedarikçiler, bayiler, personel vb. sayıca ve kullanıcılar belirli ise, bu durumda bu servisin İnternet üzerinden erişilebilmesi, aslında tüm İnternet kullanıcılarının bu servisi görmesi gerektiği anlamına da gelmemekte. ZTNA - Zero Trust Network Access çözümümüz tam da bu tür ağ alanları yaratırken işi rahatlatıyor.

Bu ağ alanlarını  - dağınık ağ, dağınık yapı üzerinde çalışan kullanıcı kitleleri olsa dahi - izole edebilmek, hem güvenlik hem de performans açısından yüksek düzeyde fayda sağladığından, erişim yönetim sistemlerinin bu çalışmaları sağladığını ve bunlara yapılan yatırımın kısa vadede kendini amorte ettiğini hatırlatmak isteriz.

Hackerlar SAP'den Ne İstiyor?

Yalnızca SAP değil, tüm dijital sistemler, aynı temel sebeplerden ötürü saldırganların hedefinde.

İnternet üzerinden hızla erişmek, erişilmek demek, her zaman meraklı bir elin de uzanacağı kadar ortada olmak demek. Elbette riskli gördüğümüz alanlar için geliştirdiğimiz çözümler de mevcut (bknz. TINA ISOLATOR çözümümüz).

Dijital Dönüşüm ve Yeni Nesil Çözümlerimiz

Hızlı Dijital Dönüşüm, Beraberinde Gelen Riskler ve Yeni Nesil Çözümlerimiz

Hızlı Dönüşümün Temelleri

2020 yılında karşılaştığımız pandemi ortamı ile birlikte, tüm dünyada hızlı bir dijital dönüşüm sürecine gidildi. Sağlık önlemleri temel sebep gösterilerek alınan birçok önlemden ötürü, işletmelerin ve bireylerin fiziksel olarak bir araya gelememesi, gündelik çalışmalarını etkilemeye başladı.

İnsanların ve hatta kurumların, günlük yaşantısını devam ettirebilmesi için, gündelik hayatlarında dijital sistemleri en ön plana koyan bir dijital düzene adapte olmaları, neredeyse tamamen zorunlu hale geldi. Dijital toplantıların, online alışverişlerin artması, dijital bankacılık işlemlerinin artması, aşı ve karantinaya bağlı yazılım uygulamalarının ortaya çıkması, uzaktan çalışma, uzaktan yönetilen sistemler ve daha pek çok dijital kullanım alanı ile karşılaşıldı.

Kısacası dijital yaşama olan yatkınlığın artmak zorunda kaldığı ve dönüşümün önceki yıllara göre daha hızlı ilerlediği bir süreç gözlemledik.

Teknik ön çalışmaları, dijitalleşme yol haritaları hazır olan firmalar ve/veya teknolojiye meraklı bireyler bu sürece daha kontrollü girerken, bazıları ise planlananın ötesinde hızlı hareket etmek zorunda kalarak ya da operasyonel büyüklüğü bir anda plansız şekilde büyüyen işlerin sonucunda tamamen plansız ve kontrolsüz şekilde bu süreçten geçmek durumunda kaldı.

Dijitalin Kattığı Değerler ve Riskler

Dijital dönüşüm süreçlerinde özellikle son yıllarda gözlemlediğimiz ve güvenlik bakış açısıyla değerlendirdiğimizde, hızlı dönüşümlerin sonucunda ortaya çıkan şu kısımların altını çizmek isterim:

- Kurumlar arasındaki bilgi paylaşım miktarı ve hızlı paylaşım ihtiyacı arttı.

- Kurumların dijital görünürlük, erişilebilirlik ve hızlı işlem ihtiyaçları arttı.

- Operasyon süreçlerindeki dijitalleşmemiş bölümlerinin de yazılım ile desteklenmesi ihtiyacı hızla artış gösterdi.

-  Yazılımlar, ihtiyaçların daha net karşılanabilmesi için iş akışlarına göre (ve çoğunlukla büyük hızla) özelleştirildi.

-  Kurum çalışanlarının kurum içerisindeki varlıklarına; dosyalarına, uygulamalarına, cihazlarına erişmesi ihtiyaçları; VPN, TELNET, RDP, SSH vb. uzaktan bağlantı metotlarının kullanımını kaçınılmaz hale getirdi.

- Sunucular üzerinde hizmet veren, kurum operasyonu sırasında kullanılan servislere uzaktan erişimler; farklı coğrafik alanlarda bulunan ve yüksek sayıda kullanıcıya, kurum içi kullanıcılara ve hatta kurum dışı bayi, tedarikçi vb. kullanıcılara da hızla sunulmaya başlandı.

- Dijital erişilebilirliği yüksek tutma ihtiyacı dolayısıyla; VoIP santraller, ERP, CRM uygulamaları vb. bir çok servis ihtiyacı, planlanandan daha yüksek düzeylere ulaştı.

Tüm bu gelişmeler sonucunda ortaya çıkan; sunuculara, servislere dışarıdan erişim ihtiyaçları ve uzak/dış kullanıcı sayısındaki artışlar güvenlik risklerini de artırdı.

Dönüşümler Sonrası Artan Risklerimiz Nelerdir?

- Artan trendlere bağlı olarak, saldırganların seçtiği atak vektörleri yön değiştirdi. Firewall sistemleri ve VPN, uzak yönetim paneli gibi servisler saldırılarda odağa alındı. Dünyada yaygın olarak kullanılan markalı güvenlik duvarları, başarılı saldırılar karşısında yenik düştüler.

- Sunuculara yönelik yapılan saldırılar, fidye saldırıları ve talep edilen fidye tutarları büyük artış gösterdi.

- Uygulamalarda yapılan hızlı değişimler, uygulamaların kurum içi ve kurum dışı test süreçlerinin ertelenmesi, aksatılması, oluşan yazılım zafiyetlerinin daha geç fark edilmesine veya saldırı sonuçları açığa çıkana dek hiç farkedilememesine yol açtı.

- Yaygın olarak kullanılan markalı güvenlik çözümlerine yönelik saldırılar arttı; yaygın olarak kullanılan güvenlik çözümlerinin zafiyetlerini gidermeye yönelik hızlarının yetersiz kaldığı gözlemlendi. Çok sayıda kurum bu sebepten uzunca süre risklere ve başarılı saldırılara maruz kaldı.

- Kısıtlı bir kitleye servis sunma amacıyla kurumda kullanılan uygulamalar, (yalnızca kurum ağı içerisinde kullanılmaya yönelik geliştirilmiş olan uygulamalar da dahil olmak üzere) İnternet üzerinden kullanıcı erişimine açılmak durumunda kalındığından, çok sayıda parola deneme saldırıları, DoS saldırıları ve kurum dışı yetkisiz erişim siber vakaları görüldü.

Dönüşen Riskleri Azaltacak En Önemli Savunma Noktaları Nelerdir?

Siber saldırıları ve ihtiyaçları yakından takip eden ekibimiz, müşterilerimizin artan ihtiyaçlarına yönelik danışmanlık, dış denetim desteği, sızma testleri hizmetleri ile çözüm sunmanın yanı sıra, risklerini en aza indirgeyecek metotlara yönelik de ARGE çalışmalarını eş zamanlı olarak sürdürdü. Bu çalışmalarda rastladığımız, reel sektörden finans sektörüne, eğitimden yüksek otomasyon veya düşük otomasyonlu üretime, bir çok farklı sektörün ortak problemi olduğuna kanaat getirdiğimiz çözüm alanına odaklandık.

ARGE çalışmalarımızın sonucunda yeni ürünümüz TINA ISOLATOR® 'ü ortaya çıkarttık (https://www.tinasecurity.com/tr/isolator-tr/).

Ağ yöneticilerinin servis ve/veya sunuculara olan tüm erişim ihtiyaçlarını Zero Trust yaklaşımı ile en güvenli şekilde sağlamak; erişimleri takip ve kontrol etmesini kolaylaştırmak amacıyla geliştirdik.

ZTNA - Zero Trust Network Access Nedir?

ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.

YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/)

TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.

Dene ve Al Stratejisini Öneriyoruz

Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.

TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

E-posta ile: [email protected]

Online Tanıtım randevunuzu buradan da başlatabilirsiniz.

En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA

ZTNA (Zero Trust Network Access) Nedir?

Kurumun sahip olduğu sunuculara, uygulamalara ve servislere gerçekleştirilen uzaktan erişimlerin, erişim kontrol politikaları ile net olarak çizgilerinin belirlenebildiği ve erişime bağlı risklerin düşürüldüğü bir IT güvenlik çözümüdür.

Bu yazımızda ZTNA'nın nasıl doğduğunu ve hangi sorunlara çözüm getirdiğini güncel ihtiyaçları anlatarak açıklamaya çalışacağız.

Sunucu Konumlarının Değişim İhtiyacı

Genişleyen iç ağlar; iç ağda IP trafiği olan donanımların kamera, telefon, terminal vb. cihazların artması, mobil / tablet / taşınabilir uç noktaların artması, farklı işletim sistemlerindeki artış vb. sistemsel çeşitlilikteki artışların bir sonucu olarak iç ağ trafiğinde ve risklerinde de artış doğurmuştur.

Geçmiş dönemlerde ağ topolojilerinde sistemlerin tamamı iç ağda barındırılmaktayken, son dönemlerde ise sunucular, servisler ve uygulamalarda kullanıma bağlı artan ihtiyaçları dolayısıyla topolojiler de şekil değiştirmeye başlamıştı.

İç ağdaki yükü hafifletmesinin yanı sıra, sistemlerin sağlıklı çalışması için ihtiyaç duyulan daha uygun altyapı, düşük maliyet, ortam performansı, bakım ve müdahale desteği gibi çeşitli gereksinimlerden ötürü uzunca bir zamandır "Veri Merkezi" (Data Center - DC) ortamlarına taşınıldığını ve halen taşınmaların devam ettiğini gözlemlemekteyiz.

DC ortamına taşınan sistemler, kurumun tüm kullanıcılarına yönelik erişim sunarken; hem kurum içi ağdan erişen kullanıcıların, hem de kurum ağı dışından erişen kullanıcıların bulunması ile sabit kuralların değişmesi, dinamik değişen kurallar ile yönetimler gerekti. Kurum lokasyonunun dışında durmasına karşın, kurum ağının uzantısı olduğundan ve değişik ihtiyaçlarından ötürü, yine kurumca yakından takip edilmesi ve yönetilmesi gereken bir konu olmasına yol açtı.

Pek çok DC'nin, barındırılan sistemlerin yönetimi için yönetim yazılımları ve/veya yönetim destekleri, uyguladıkları belirli erişim kural setleri olsa da, bunlar ile kurumların dinamik veya kuruma göre farklılaşan ihtiyaçlarını karşılamaları, anlık çözümler getirmeleri pek mümkün olamamaktadır.

Sunucu, servis ve uygulamalara, sadece belirlenmiş kurumsal iç ağdan erişim ihtiyacının dışına çıkılmış olması, birden çok, farklı farklı ağ alanlarından; 

• kurum iç ağından doğrudan erişim
• VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
• İnternet üzerinden herhangi bir uç noktadan direkt erişim

şeklinde erişimlerin olması, kontrolü ve sınırlandırılması daha zor, dağınık bir erişim yönetimi tablosunu ortaya çıkardı.

Dağınık Erişim Konumlarında Yönetim İhtiyacı

Tam olarak da bu noktada, çalışmaların daha dağınık yapılarda yürütülmesi, ZTNA yaklaşımını beraberinde getirdi.

Kurumların diğer kurumlar ile olan dijital çalışma ihtiyaçlarındaki artış; sunucuların, servislerin, uygulamaların kurum tedarikçilerinin, bayilerinin ve müşterilerinin kullanımına açılmasını kaçınılamaz hale getiriyor.

Sistemler büyük çoğunlukla IT yöneticisi tarafından kuruma özgün politikalar ile, kullanım ihtiyaçlarına göre değişken şekilde en başarılı halde yönetilmekteler.

Dağınık alanlarda ve kurumlarda kullanıcı erişiminin olması, farklı kurumlarda farklı kalitede politikaların yürütülmesi, esnek erişim ihtiyaçları, neredeyse tüm İnternet üzerinden erişilebilir halde hizmet verilmesi anlamına gelmeye başlasa da, tam olarak bu aşamada ZTNA devreye giriyor ve bu çözüm sayesinde artık kontrolsüz, sınırsız erişim olmadan da güvenli erişim ve yönetim sağlanabiliyor.

ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.

Keskin sınırlamaların uygulanmasından, çok esnek erişim uygulanması durumlarına kadarki tüm yönetim düzeylerinde ZTNA çözümleri hem bir yönetici çözüm, hem de riski azaltıcı faktör olarak destek veriyor.

Erişimin hangi kurallar ile gerçekleştirilebileceği, hangi servisin hangi kullanıcıya, hangi zaman diliminde hizmet vereceği vb. esnetilebilen, seçilebilen, kullanıcıya, servise göre çeşitli kombinasyonlarla belirlenebilen yönetim politikaları, ilgili sunucu, uygulama, servis'e erişimden önce kullanıcı doğrulaması gereksinimi ile de bütünleşince, ZTNA çözümleri tüm İnternet'e açık kalan sistemleri eskisinden de güvenli hale getirdi.

YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/) 

TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.

Dene ve Al Stratejisini Öneriyoruz

Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.

TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

E-posta ile: [email protected]

Online Tanıtım randevunuzu buradan da başlatabilirsiniz.