HvS-Consulting GmbH, ağ üzerinden dosya erişimi için yaygın olarak kullanılan Network File System (NFS) protokolünün genellikle göz ardı edilen güvenlik açıklarını aydınlatan değerli bir rapor yayımladı. Esnekliği nedeniyle birçok platformda kullanılan NFS, yanlış yapılandırmalar ve yeterince kullanılmayan güvenlik özellikleri nedeniyle güvenlik zorlukları yaratmaktadır.
Rapor, araştırma ekibinin NFS güvenlik açıklarını keşfetme çalışmalarını, protokolün güvenlik özelliklerine, yaygın yapılandırma hatalarına ve bu zayıflıkları nasıl istismar edebileceğine odaklanarak özetlemektedir. Araştırmacılar, sorunların protokolün işlevselliğinden kaynaklansa da, yanlış yapılandırmaların bu riskleri önemli ölçüde artırdığına dikkat çekmektedir. Raporda, NFS’nin hem ev hem de kurumsal ortamda yaygın olarak kullanılmasına rağmen genellikle yanlış yapılandırıldığı ve bu durumun kritik verileri yetkisiz erişime açtığı belirtilmektedir.
Araştırmacılar, “Birçok şey gördük, kimlik doğrulama yapılmamış erişimlerden en son Ar-Ge verilerine ve diğer güvenlik önlemleriyle sıkı bir şekilde korunmuş ortamlarda tüm sanal makinelerin yedeklerine kadar” diye açıklamada bulunmuşlardır.
Rapor, protokolün ana güvenlik özellikleri ve zorluklarını şu şekilde vurgulamaktadır:
Kimlik Doğrulama Yöntemleri: NFS, AUTH_SYS (varsayılan) ve Kerberos dahil olmak üzere birden fazla kimlik doğrulama yöntemini destekler. AUTH_SYS yapılandırması kolay olsa da, kriptografik doğrulama sağlamaz ve bunun yerine doğrulanmamış UID ve GID’lere dayanır. Kerberos kimlik doğrulaması—çok daha güvenli olmasına rağmen—özellikle Linux ortamlarında karmaşıklığı nedeniyle yeterince kullanılmamaktadır.
Dışa Aktarım Yapılandırmaları: /etc/exports dosyasındaki yanlış yapılandırılmış dışa aktarım ayarları, dizinlerin yetkisiz erişime açılmasına neden olabilir. no_root_squash etkinleştirilmesi veya istemci erişiminin kısıtlanmaması gibi yanlış yapılandırmalar güvenlik risklerini artırır.
Alt Dizin Kontrolü Kötü Kullanımı: Linux sistemlerinde genellikle varsayılan olan subtree_check özelliği devre dışı bırakıldığında, paylaşılan dosya sistemlerinde (ext4, xfs, btrfs gibi) özellikle istenmeyen dışa aktarım dizinlerine erişime izin verebilir.
Rapor, saldırganların NFS güvenlik açıklarını istismar etmek için kullanabileceği çeşitli yöntemleri açıklamaktadır:
UID/GID Sahteciliği: Doğru kimlik doğrulama mekanizmaları olmadığında, saldırganlar kullanıcıları veya grupları taklit ederek dosyalara erişim sağlayabilir.
Yetki Yükseltme: no_root_squash gibi güvensiz yapılandırmalar kullanılarak, saldırganlar yükseltilmiş yetkilerle ikili dosyalar yükleyip çalıştırabilir.
Dizin Kaçışı: Yanlış yapılandırılmış dışa aktarım ayarları ve devre dışı bırakılmış subtree_check, saldırganların dışa aktarılan dizinlerin dışına çıkmasına ve /etc/shadow gibi hassas dosyalara erişmesine olanak tanıyabilir.
HvS-Consulting, NFS yanlış yapılandırmalarını tespit etmek ve istismar etmek için özel araçlar geliştirmiştir:
fuse_nfs: Kimlik doğrulama mekanizmalarını geçerek dosyalara erişim sağlamak için UID ve GID’leri şeffaf bir şekilde eşleyen bir FUSE sürücüsü.
nfs_analyze: sunucu yapılandırmalarını değerlendiren, no_root_squash gibi yanlış yapılandırmaları tespit eden ve /etc/shadow gibi hassas dizinlere erişimi test eden bir araç.
Bu güvenlik açıklarını hafifletmek için rapor, şu önerilerde bulunmaktadır:
Erişimi Kısıtlayın: NFS dışa aktarımlarını belirli istemcilerle sınırlayın ve sıkı ağ segmentasyonu uygulayın.
Kimlik Doğrulamayı Etkinleştirin: Kerberos veya RPC-with-TLS gibi daha yeni protokoller kullanarak güvenli istemci-sunucu iletişimi sağlayın.
Dışa Aktarım Yapılandırmalarını İyileştirin: no_root_squash kullanmaktan kaçının, mümkünse all_squash kullanın ve dışa aktarım dizinlerini kendi dosya sistemlerine izole edin.
Düzenli Denetim: NFS yapılandırmalarını sürekli olarak gözden geçirin ve en iyi uygulamalara uygunluğunu sağlamak için güncelleyin.
İlgili Gönderiler: CVE-2024-29937: Kritik NFS Güvenlik Açığı, BSD Sistemlerini Uzak Kod Yürütülmesine Maruz Bırakıyor
