Sektörden Haberler

ICS/OT Altyapılarında RDP kullanımında Güvenlik Zafiyeti

21 Temmuz 2023

Uzak Masaüstü Protokolü (RDP),  İlk sürümü 1996 yılında Windows NT 4.0 Terminal Server sürümünün bir parçası olarak piyasaya sürülmüş olan ve kullanıcılara ağ bağlantısı vasıtasıyla Windows tabanlı bilgisayarlara uzaktan erişim ve kontrol imkanı sağlayan bir uygulamadır. 

İlk sürümün yayınlanmasından bugüne kadar RDP, Windows tabanlı sistemlerin uzaktan erişimi ve yönetimi için yaygın olarak kullanılan bir protokol haline gelmiştir. RDP, uzaktan çalışmayı, IT desteğini ve sistem yönetimini mümkün kılarak önemli bir rol oynamış ve çeşitli uzaktan masaüstü ve sanal masaüstü altyapısı (VDI) çözümlerinin temelini oluşturmuştur.

RDP’nin yaygın kullanımının dezavantajı, herhangi bir RDP ağ geçidindeki Uzaktan Kod Yürütme (RCE) güvenlik açığının, yetkisiz kullanıcılar tarafından kullanılması durumunda ciddi sonuçlar doğurabileceğidir. Potansiyel olarak önemli zararlara neden olabilir ve etkilenen sistemin güvenliğini ve bütünlüğünü tehlikeye atabilir.  Bir RCE güvenlik açığını kullanmak, etkilenen sisteme izinsiz erişim elde etmenin bir yoludur ve bu sayede yetkisiz kullanıcı sistem üzerinde kontrol sahibi olabilir, güvenlik önlemlerini aşabilir ve yanal hareket, veri dışa aktarma, kötü amaçlı yazılım dağıtımı, sistem kesintisi ve daha fazlasını içerebilecek kötü niyetli eylemler gerçekleştirebilir.

Potansiyel Etki şiddetinin; güvenlik açığının kritikliği, saldırganın niyeti ve yetenekleri, hedeflenen sistemin önemi ve yerinde alınan güvenlik önlemlerinin yeterliliği gibi çeşitli faktörlere bağlı olarak değişeceği unutulmamalıdır. Yine de, yetkisiz erişim, veri ihlalleri ve sistemlerin tehlikeye girmesi olasılığı göz önüne alındığında, RDP’deki RCE güvenlik açıkları, acil önlem ve giderim gerektiren kritik bir güvenlik endişesidir.

Microsoft son zamanlarda bu konuda yaşananlar üzerine açıklıkları giderici güvenlik bültenleri yayınlamıştır. Ve kullanıcıları ilgili güncellemeleri yapmaları için uyarmıştır. 

DLL Hijacking, RDP’yi Sömürmek İçin Kullanılıyor – CVE-2023-24905

Dinamik Bağlantı Kütüphaneleri (DLL) ele geçirme yöntemi olan DLL hijacking kullanılarak; RDP istemcisi, Windows işletim sistemi dizini yerine mevcut çalışma dizininden (CWD) bir dosya yüklemeye çalıştığında tehlike oluşturmaya başlıyor. 

Yapılan incelemeler sonucunda, DLL içindeki simgeleri ve metinleri değiştirerek yüklenecek kaynakların taklit edebileceği anlaşıldı. Bu durum, ilgi çekici bir kimlik avı saldırı vektörü oluşturabilir. Saldırgan, simgeleri ve metinleri değiştirerek kullanıcıyı belirli eylemleri yapmaya yönlendirebilir. Örneğin, simgeleri ve metinleri değiştirerek bir hata mesajını meşru bir sistem bildirimi gibi gösterebilir veya zararlı bir eylemi (örneğin bir dosya indirmeyi) zararsız görünen bir işlem gibi gerçekleştirebilir (örneğin yazılım güncellemesi gibi).

Bu RCE, DLL dizesini zararlı bir dosyaya çevirerek, ve bu dosyayı yaygın olarak erişilen dosya paylaşım konumuna yerleştirerek ve ardından bir kullanıcıyı onu çalıştırmaya ikna ederek gerçekleşir. İlginç bir şekilde, bu zafiyet yalnızca Windows OS’u ARM (Advanced RISC Machines) işlemcilerde çalışan cihazları etkilemiştir. Hem RDP hem de Windows OS’unun ARM üzerinde çalışması, endüstriyel kontrol sistemleri (ICS) ve diğer operasyonel teknoloji (OT) ortamlarında yaygın olarak kullanıldığından, endüstriyel kuruluşlar ve kritik altyapılar bu saldırının ana hedefi olmaktadır.

RDP Ağ Geçidi Güvenlik Açığı, Standartlara Uyumluluğu Tehdit Edebilir – CVE-2023-35332

Normal çalışma koşullarında, RDP Ağ Geçidi protokolü, güvenli iletişim için yaygın olarak kabul edilen Transport Layer Security (TLS) sürüm 1.2 ve Transport Control Protocol (TCP) kullanarak birincil güvenli kanal oluşturur. Ek olarak, ikincil bir kanal, kullanıcı datagram protokolü (UDP) üzerinden Datagram Transport Layer Security (DTLS) 1.0 kullanılarak kurulur. DTLS 1.0, iyi bilinen güvenlik açıkları ve riskler nedeniyle Mart 2021’den bu yana kullanımdan kaldırılmıştır. DTLS 1.0 gibi kullanımdan kaldırılmış ve güncelliğini yitirmiş güvenlik protokollerinin kullanılması, endüstri standartları ve düzenlemelere istemeden uymamanın da yolunu açabilir.

İkincil UDP kanalı, özellikle çok sayıda bilinen sorunu olan bir protokolü (DTLS 1.0) kullanması nedeniyle endişe vericidir. En büyük zorluk, operatörlerin bu güncelliğini yitirmiş protokolle endüstriyel standartlara uyumluluğu sağlayamamış olabileceklerini bilmemeleridir.

Sonuç

Bu güvenlik açıklarının sonuçlarından kaçınmak için en iyi yöntem, Microsoft’un yayınladığı yamalarla RDP istemcilerinizi ve ağ geçitlerinizi güncellemektir. Ancak kaçınılmaz olarak, RDP üzerinde başka RCE’ler olacaktır ve bu, tehdit aktörlerinin önüne geçmek için sağlam erişim kontrolleri uygulamanın önemli bir sonraki adım olduğu anlamına gelir. RDP, güncellenmesi neredeyse imkansız olan OT/ICS ortamlarında yaygın olarak kullanıldığından, bu sistemleri çalıştıran kuruluşların sistemlerin kullanılabilirliği, işletme güvenliği vb. Özel gereksinimlerini karşılayan güvenlik araçları bulmaları özellikle önemlidir.