تأثیر مستقیم Shadow IT بر افزایش Attack Surface سازمان‌ها

Shadow IT – سامانه‌هایی که تیم امنیت شما از وجودشان بی‌اطلاع است – همچنان یک چالش مداوم محسوب می‌شود. ممکن است سیاست‌ها استفاده از آن‌ها را ممنوع کنند، اما دارایی‌های مدیریت‌نشده به‌طور اجتناب‌ناپذیر راه خود را پیدا می‌کنند. و اگر مدافعان پیش از مهاجمان آن‌ها را کشف نکنند، همواره خطر سوءاستفاده وجود دارد.

تنها با چند روز تلاش، تیم امنیتی Intruder نمونه‌های واقعی متعددی از افشای Shadow IT را شناسایی کرد: نسخه‌های پشتیبان ناامن، مخازن باز Git، پنل‌های مدیریت بدون احراز هویت و موارد دیگر.

هر یک از این موارد حاوی داده‌ها یا اطلاعات کاربری بسیار حساس بودند و هیچ‌یک نیازمند بهره‌برداری پیچیده نبودند.

شناسایی اهداف

یکی از مؤثرترین روش‌ها برای کشف Shadow IT، فرآیند Subdomain Enumeration است. توسعه‌دهندگان ممکن است سیستم‌های جدیدی را به‌صورت مستقل مستقر کنند، اما برای دسترسی‌پذیر کردن آن‌ها تقریباً همیشه نیاز به یک Subdomain دارند.

ما از Certificate Transparency (CT) Logs که یک دفترکل عمومی از TLS Certificates صادرشده است، استفاده کردیم. با اجرای Wildcard Queries و جست‌وجوی کلیدواژه‌های متداولی مانند “git”، “backup” یا نام نرم‌افزارهای محبوب، توانستیم به‌سرعت حدود ۳۰ میلیون Host شناسایی کنیم.

در ادامه، ترکیبی از Fingerprinting Techniques و Automated Screenshots را برای تعیین اینکه کدام Hostها جالب یا بالقوه آسیب‌پذیر هستند به کار گرفتیم. ظرف چند روز، فهرستی از سیستم‌هایی داشتیم که Critical Weaknesses را افشا می‌کردند؛ ضعف‌هایی که معمولاً توسط مهاجمان در مقیاس گسترده مورد سوءاستفاده قرار می‌گیرند.

وقتی دارایی‌ها پنهان می‌شوند، Intruder به جست‌وجو می‌پردازد

Intruder به‌صورت خودکار دارایی‌های ناشناخته را شناسایی کرده و آن‌ها را برای یافتن Exposureها اسکن می‌کند؛ پیش از آنکه مهاجمان بتوانند از آن‌ها سوءاستفاده کنند. بدین ترتیب شما می‌توانید به‌سرعت Real Risks را برطرف کرده و امنیت خود را حفظ کنید.

Shadow IT را قابل‌مشاهده کنید. با Intruder سطح حمله (Attack Surface) خود را کشف کنید.

یافته‌های ما (تنها در چند روز تست)

Vulnerability Scanning در صورتی‌که ندانید چه چیزهایی در ابتدا در معرض دید قرار دارند، بی‌اثر خواهد بود. راهکارهای Attack Surface Management مانند Intruder هر دو جنبه را پوشش می‌دهند: کمک به تیم‌ها در شناسایی خودکار دارایی‌های پنهان و سپس اسکن آن‌ها برای کشف Vulnerabilities.

آسیب‌پذیری‌هایی که شناسایی کردیم (همگی Real Exposures روی Publicly Accessible Hosts)

Exposed Backups

بکاپ‌ها جزو ساده‌ترین Exposureها برای شناسایی بودند. بسیاری از Subdomainهای مرتبط با بکاپ به‌صورت عمومی محتوای دایرکتوری‌ها را فهرست کرده بودند و در بسیاری موارد، Backup Archives برای هر کسی قابل دانلود بود.

از یک نمونه کوچک، ما موفق به شناسایی Active Credentials، Website Source Code و حتی Database Dumps کامل شدیم. در یک مورد، آرشیو شامل Hardcoded Tokens بود – از جمله FTP Credentials که در زمان تست همچنان معتبر بودند.

این نوع Exposure جزو ساده‌ترین مواردی است که هر Vulnerability Scanner می‌تواند شناسایی کند. اما اگر یک Host در دسته‌ی Shadow IT قرار گیرد و هرگز وارد برنامه‌ی Vulnerability Management سازمان نشود، عملاً نامرئی باقی می‌ماند – حتی در حالی‌که به‌طور عمومی در معرض اینترنت است.

Secrets in Public Git Repositories

Unsecured Git Repositories یکی دیگر از منابع رایج افشای داده‌های حساس هستند. حتی اگر Credentials یا Secret Files از کد فعال حذف شوند، در Git History به‌طور نامحدود باقی می‌مانند مگر اینکه به‌درستی Purged شوند.

بسیاری از سازمان‌ها برای حفظ کنترل روی Proprietary Code، سرورهای Git اختصاصی خود را میزبانی می‌کنند. در یک مورد، ما موفق به شناسایی یک Exposed Git Server شدیم که شامل Source Code مربوط به یک LLM Marketplace Application بود.

این Repository کاملاً باز بود و به دلیل ضعف در Developer Hygiene، شامل Secrets مربوط به سرویس‌های خارجی مانند Redis, MySQL, OpenAI و موارد دیگر بود. این Tokensها در زمان تست همچنان فعال بودند.

در معرض اینترنت قرار دادن یک Code Repository یک اشتباه ساده است، اما می‌تواند پیامدهای بسیار جدی داشته باشد. کلید اصلی، شناسایی این Exposureها توسط خود سازمان پیش از کشف توسط مهاجمان است.

Admin Panels With No Locks on the Door

Exposed Admin Panels یکی دیگر از مشکلات تکرارشونده هستند. حتی در صورت وجود صفحه‌ی Login، قرار دادن یک Admin Interface به‌طور مستقیم روی اینترنت باعث افزایش Attack Surface می‌شود. اما در برخی موارد ما Panels‌هایی یافتیم که هیچ‌گونه Authentication نیاز نداشتند.

در جریان جست‌وجو برای کلیدواژه‌هایی مانند “Elasticsearch” و “logging”، تعداد قابل‌توجهی از سیستم‌های Logging و Monitoring که به‌طور عمومی در اینترنت قرار داشتند، شناسایی شدند.

اگرچه بسیاری از آن‌ها نیاز به Credentials داشتند، اما تعداد زیادی بدون هیچ محدودیتی باز بودند – و در برخی موارد آن‌قدر مدت‌زمان طولانی در معرض قرار داشتند که شواهدی از فعالیت مهاجمان (مانند Ransom Notes روی Elasticsearch Instances) مشاهده شد.

داده‌های قابل‌دسترس از طریق این سیستم‌ها فوق‌العاده حساس بودند: Infrastructure Logs، Secrets، Application Data (شامل User-Generated Content) و حتی پیام‌های Chatbots. بدون Authentication، این Panels دقیقاً همان نوع جزئیاتی را ارائه می‌دادند که مهاجمان برای حرکت عمیق‌تر در شبکه به‌دنبال آن هستند.

Large-Scale Propagated Misconfiguration

Subdomain Enumeration همچنین یک مورد گسترده از Propagated Misconfiguration را آشکار کرد. هنگام بررسی یک Hosting Provider، حدود ۱۰۰ Customer Domains شناسایی شد که همگی یک Vulnerability مشابه را افشا می‌کردند – Publicly Accessible Backup Files شامل Application Source Code، فایل‌های کاربری و نسخه‌های Database.

به‌صورت جداگانه، هر Domain شبیه یک خطای منفرد به نظر می‌رسید. اما با Enumeration، الگو آشکار شد: یک مشکل سیستماتیک که در سراسر Customer Base تکرار می‌شد.

با نگاهی کلان و اتصال نقاط، توانستیم ابعاد کامل این Exposure را مشاهده کرده و آن را به Provider گزارش دهیم.

پیامدها برای Attack Surface شما

Shadow IT منجر به ایجاد نقاط کور می‌شود – اما این نقاط لازم نیست پنهان باقی بمانند. مدافعان می‌توانند ضعف‌ها را پیش از آنکه مورد سوءاستفاده قرار گیرند شناسایی کنند، با انجام موارد زیر:

• Continuous Subdomain Enumeration برای کشف سیستم‌های جدید پیش از مهاجمان
• وارد کردن دارایی‌های تازه کشف‌شده به برنامه‌ی Vulnerability Management تا هیچ موردی از قلم نیفتد

Intruder این فرآیند را به‌صورت خودکار انجام می‌دهد؛ دارایی‌های ناشناخته را کشف کرده و آن‌ها را برای Exposureها اسکن می‌کند تا شما بتوانید سریع اقدام کنید.

یک Demo رزرو کنید تا ببینید چگونه Intruder پیش از آنکه Exposures به Breaches تبدیل شوند، آن‌ها را شناسایی می‌کند.