Hogyan vezetnek rejtett oldalsó mozgási utakhoz a 3-szintű alkalmazások

München, Németország – 2025. szeptember 19.

Hogyan mozognak a támadók többszintű architektúrákban a szegmentálás ellenére

A háromszintű architektúrák a modern vállalati alkalmazások szabványos modelljét képezik, amely elkülöníti a prezentációs, az alkalmazás-logikai és az adat-rétegeket. Habár ez a tervezés javítja a skálázhatóságot és a karbantarthatóságot, a Rasotec penetrációs tesztjei rendszeresen azt mutatják, hogy rejtett oldalsó mozgási lehetőségeket is teremt. Ezeket gyakran figyelmen kívül hagyják, mert az architektúra látszólag szegmentált, ám a gyakorlatban nem az.

Az a feltételezés, hogy az előtér-szint kompromittálása nem biztosít közvetlen utat érzékeny rendszerekhez. A Rasotec azonban gyakran gyenge bizalmi határokat talál a szintek között, amelyek lehetővé teszik a támadók számára, hogy a felhasználói szerverekről belső alkalmazás-logikai szerverekre, majd onnan háttéradatbázisokra mozogjanak. Amint a támadó bejut az alkalmazás-hálózatba, az oldalsó mozgás gyerekjátékká válik.

Gyakori probléma a megosztott szolgáltatási fiókok használata. Számos 3-szintű telepítés ugyanazokat a hitelesítő adatokat vagy túlzottan jogosult fiókokat használja a szintek közötti kommunikációhoz. Ha egy támadó kompromittál egy webszervert, ezeket a hitelesítő adatokat örökli, és közvetlenül hitelesíthet az alkalmazási vagy adatbázis-szerverekre anélkül, hogy jogosultságot kellene növelnie.

Egy másik gyengeség a hálózati szintű izoláció hiánya. Habár a szintek logikailag elkülönültek, a Rasotec gyakran lapos alap-hálózatokat figyel meg, ahol bármelyik kiszolgáló bármelyik mást elérheti. Ez azt jelenti, hogy egy DMZ-beli belépési pont közvetlenül kommunikálhat belső alkalmazás-szerverekkel, megkerülve az elvárt szegmentálást.

„A 3-szintű tervek izolációt ígérnek, ám gyakran olyan bizalmi láncszemeket találunk, amelyek autópályává alakítják őket a támadók számára” – mondta Rick Grassmann, a Rasotec vezérigazgatója.

A rosszul konfigurált köztes- és üzenet-brókerek szintén pivot-pontokat hoznak létre. Az alkalmazás-szerverek gyakran megbíznak bármely belső hálózati rendszerben, amely csatlakozni próbál, megfelelő hitelesítés vagy TLS-érvényesítés nélkül. A támadók megbízható szolgáltatásoknak tudják kiadni magukat, hogy parancsokat fecskendezzenek be vagy adatokat lopjanak a szintek között anélkül, hogy riasztást váltanának ki.

Ezek a kockázatok hibrid vagy felhő-alapú 3-szintű környezetekben is felerősödnek. Átfedő identitás-rendszerek, rosszul illesztett IAM-szerepkörök és a build-folyamatokban tárolt megosztott titkok gyakran több útvonalat biztosítanak a támadók számára a szintek között. A Rasotec gyakran láncolja ezeket a gyengeségeket, hogy a felhős web-frontendből helyszíni adatbázis-infrastruktúrába jusson.

A hagyományos sebezhetőségi szkennerek ritkán észlelik ezeket a támadási utakat, mivel nem egyetlen hibáról, hanem bizalmi feltételezések láncolatáról van szó. Kézi, ellenfél-szimulált penetrációs tesztelés szükséges a valós oldalsó mozgási lehetőségek feltérképezéséhez a szintek között, és annak bemutatásához, hogyan használnák ki azokat a támadók.

A Rasotec pentestjei erre a kereszt-szintű elemzésre összpontosítanak. Hitelesítő-adat-ellenőrzés, hálózati útvonal-térképezés és viselkedés-alapú kihasználási technikák kombinációja felfedi a rejtett mozgási utakat, amelyek aláássák a vélelmezett szegmentált 3-szintű architektúrákat.

A Rasotec-ről: A Rasotec a CypSec egyik legközelebbi partnere, „boutique” biztonsági vállalat, amely összetett webes, mobil és infrastruktúra-környezetek kézi penetrációs tesztelésére specializálódott. Csapata logikai hibákra, láncolt támadási utakra és nagy hatású sebezhetőségekre fókuszál, amelyeket az automatizált eszközök nem fedeznek fel. További információ: rasotec.com.

Média kapcsolat: Rick Grassmann, vezérigazgató, Rasotec – rick.grassmann@rasotec.com.