CyberFlow Logo CyberFlow BLOG
Oracle Pentest

Oracle Job Scheduler İstismarı: Siber Güvenlikte Yeni Tehditler

✍️ Ahmet BİRKAN 📂 Oracle Pentest

Oracle Job Scheduler istismarı, sızma testlerinde önemli bir konu. Bu yazıda adım adım süreçleri inceleyeceğiz.

Oracle Job Scheduler İstismarı: Siber Güvenlikte Yeni Tehditler

Oracle Job Scheduler istismarında mevcut işlerinizi nasıl listeleyeceğinizi ve güvenlik açıklarını nasıl bulacağınızı öğrenin. Bu blogda detayları keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında yeni ve karmaşık tehditlerin sürekli olarak ortaya çıkması, organizasyonların güvenlik stratejilerini sürekli güncellemelerini gerektirmektedir. Bu bağlamda, Oracle Job Scheduler, veri tabanı yönetim sistemleri için önemli bir yapı taşıdır. Bu sistem, belirli zaman aralıklarında otomatik görevlerin yürütülmesini sağlar. Ancak, bu işlevsellik aynı zamanda kötü niyetli saldırganlar için bir istismar noktası haline de gelebilir. Oracle Job Scheduler'ın kötüye kullanımı, sistemin güvenliğini ciddi şekilde tehdit edebilir.

Oracle Job Scheduler'ın Önemi

Oracle Job Scheduler, zamanlanmış görevlerin etkin bir şekilde yönetilmesine olanak tanırken, doğru yapılandırılmadığı takdirde birçok güvenlik açığı da barındırabilir. Özellikle, görevlerin çalıştırılması için gerekli olan izinlerin sapmaları, saldırganların yetki yükseltmeleri ve kalıcı arka kapılar kurmaları için bir fırsat sunar. Veri güvenliği açısından, bu tür sızıntılar yalnızca bireysel hesapların değil, aynı zamanda bütün sistemin güvenliğini de tehdit eder.

İstenmeyen hâllere karşı acil bir yanıt geliştirmek, organizasyonların güvenlik önlemlerini etkili bir şekilde almak için önemlidir. Saldırganlar, sistemdeki zayıflıkları tespit ederek bu geçici çözümleri atlatabilir ve kalıcı bir tehdit oluşturabilirler. Bunun yanı sıra, tahmin edilemez işlevsellik ve izin kombinasyonları, sistem yöneticilerinin ve güvenlik uzmanlarının tehditleri önceden tespit etmelerini zorlaştırır.

Siber Güvenlik ve Pentest Bağlamı

Sızma testleri (pentest), sistemlerin güvenlik açıklarını değerlendirmek amacıyla gerçekleştirilen simüle edilmiş saldırılardır. Oracle Job Scheduler’ın bir hedef olarak seçilmesi, siber güvenlik uzmanlarının veri tabanı yönetişimdeki zayıflıkları keşfetmesini sağlar. Saldırganlar, sistemde bulunan işlerin ve bu işlerin hangi yetkilerle çalıştığının analiz edilmesi yoluyla, basit bir yapı arayüzünden karmaşık bir şekilde sistem üzerinde tam yetki elde edebilirler.

Aynı zamanda, bu tür testlerde iki ana unsura dikkat edilmelidir: yetki kontrolü ve işlerin durum izleme yetenekleri. Örneğin, veritabanındaki işler üzerinde detaylı bir analiz yaparak, sızılmış kimlik bilgilerini elde etmek için zafiyetler tespit edilebilir. Bunun yanı sıra, görevlerin hangi kullanıcılar tarafından koşulabileceği ve nasıl çoğaltılabileceği konusunda derinlemesine bir anlayış geliştirilir.

SELECT owner, job_name, job_type 
FROM dba_scheduler_jobs;

Yukarıdaki sorgu, veritabanındaki tüm zamanlanmış işleri listeleyerek, sistemin yönetiminde ne kadar çok zayıflığın mevcut olabileceğine dair bir perspektif sunar. Bu tarz bilgilerin elde edilmesi, saldırılar için gerekli olan temel veri akışını oluşturur.

Okuyucuya Hazırlık

Bu yazıda Oracle Job Scheduler istismarlarının farklı boyutları detaylandırılacaktır. Saldırı vektörleri, erişim izinleri, kalıcı bir arka kapı kurma yöntemleri gibi konular ele alınacaktır. Her bir adım, sistemin nasıl istismar edileceğinin yanı sıra siber güvenlik stratejilerine etkisi hakkında bilgiler sunacaktır. Bu bağlamda hedef, güvenlik uzmanlarının ve sistem yöneticilerinin bu tür tehditlere hazırlıklı olmalarını sağlamaktır.

Sızma testlerinde Oracle Job Scheduler'ın yanlış kullanımlarını anlamak, hem savunma stratejileri geliştirmek hem de olası siber saldırılara karşı dayanıklılığı artırmak açısından kritik öneme sahiptir. Uygun yetki yönetimi ve sistem incelemeleri, siber iklimde güçlü bir savunma mekanizması oluşturmak için gereklidir. Bu yazı, okuyuculara mevcut tehditleri ve olası çözümleri anlama konusunda bir çerçeve sunarak bilgi birikimlerini artırmayı hedeflemektedir.

Teknik Analiz ve Uygulama

Oracle Job Scheduler Üzerinde İstismar Analizi

Siber güvenlik alanındaki yeni tehditlerin artmasıyla birlikte, Oracle Job Scheduler'in potansiyel istismar yöntemleri de dikkat çeker hale geldi. Bu bölümde, Oracle Job Scheduler üzerinden gerçekleştirilebilecek istismar yöntemlerine yönelik teknik bir analiz yapılacak ve örnek uygulamalar üzerinden açıklanacağı gibi, güvenlik için alınması gereken önlemler ele alınacaktır.

Adım 1: Mevcut İşleri Listeleme

Oracle Job Scheduler'de var olan işleri belirlemek, sızma testinin ilk ve en önemli adımlarından biridir. İşlerin sahibi, adı ve türü gibi bilgileri listelemek için aşağıdaki SQL sorgusu kullanılabilir:

SELECT owner, job_name, job_type FROM dba_scheduler_jobs;

Bu sorgu, sistemdeki tüm zamanlayıcı işlerini ve bunların hangi kullanıcılara ait olduğunu gösterir. Bu bilgi, olası bir istismar için hedef seçimi açısından kritik öneme sahiptir.

Adım 2: İş Tipleri ve Saldırı Vektörleri

DBMS_SCHEDULER içerisinde bulunabilen farklı iş türleri, farklı riskler taşır. Örneğin:

  • PLSQL_BLOCK: Yetki yükseltme için ideal bir yöntemdir.
  • EXTERNAL_SCRIPT: İşletim sistemindeki komutları doğrudan çalıştırabilme yeteneği sunar.
  • STORED_PROCEDURE: Önceden tanımlı prosedürleri çağırarak potansiyel olarak kötü niyetli kodu tetiklemeye imkan verir.

Bu iş türleri arasındaki farkları anlamak, hangi türün daha yüksek istismar potansiyeline sahip olduğunu belirlemek açısından gereklidir.

Adım 3: Yetki Kontrolü

Kendi işinizi (job) oluşturmak için CREATE JOB yetkisine sahip olmanız gerekir. Başka şemalarda iş oluşturmak ise daha yüksek bir yetki gerektirir. Kullanıcıların hangi yetkilere sahip olduğunu görmek için aşağıdaki sorgu kullanılabilir:

SELECT grantee, privilege FROM dba_sys_privs WHERE privilege LIKE '%JOB%';

Bu sorgu, sistemdeki kullanıcıların iş oluşturma ve yönetme yetkisini potansiyel bir saldırı vektörü olarak inceleme imkanı sunar.

Adım 4: Kalıcı Arka Kapı Oluşturma

Saldırganlar, sistemde kalıcı kalmayı sağlamak amacıyla iş tanımlayabilirler. Örneğin, her saat parolasını 'Hacked123' olarak güncelleyen bir PL/SQL bloğu planlamak, sistemde kalıcılık sağlamak için etkili bir yöntemdir:

BEGIN
    DBMS_SCHEDULER.CREATE_JOB(
        job_name => 'BACKDOOR_JOB',
        job_type => 'PLSQL_BLOCK',
        job_action => 'ALTER USER attacker IDENTIFIED BY Hacked123',
        start_date => SYSTIMESTAMP,
        repeat_interval => 'FREQ=HOURLY',
        enabled => TRUE
    );
END;

Bu kod bloğu, sürekli olarak belirli bir kullanıcının şifresini değiştiren bir iş oluşturur.

Adım 5: Kimlik Bilgileri (Credentials)

Harici komutlar çalıştırıldığında, hangi işletim sistemi kullanıcısı ile çalışacağı SCHEDULER_CREDENTIAL nesneleri yardımıyla belirlenir. Bu nesne, işletim sistemi kullanıcı adı ve parolasını saklayan Oracle nesnesidir.

Adım 6: İşin Durumunu Takip Etme

Planlanan bir işin başarılı olup olmadığını veya hangi hatayı aldığını görmek için log tabloları kullanılmalıdır. Bu loglar, işin durumunu izlemek için faydalanılabilecek önemli bir kaynaktır ve bu şekilde saldırı sonrası izlenebilirlik sağlanmış olur.

Adım 7: İşi Manuel Tetikleme

Zamanlanan bir işin beklemeksizin anında çalıştırılması için aşağıdaki komut kullanılabilir:

DBMS_SCHEDULER.RUN_JOB('BACKDOOR_JOB');

Bu komut, hedef işin anında çalıştırılmasını sağlar ve saldırganın hızlı bir şekilde eyleme geçmesine olanak tanır.

Adım 8: Program ve Schedule Nesneleri

Karmaşık işler, 'Program' (ne yapılacak) ve 'Schedule' (ne zaman yapılacak) nesnelerinin bir kombinasyonu ile tanımlanır. Bu iki nesne arasındaki yetki farkları, bir istismar için fırsatlar yaratabilir. Yüksek yetkili bir kullanıcının oluşturduğu bir program, alt seviyeden bir kullanıcı tarafından çalıştırılabilir.

Adım 9: İşin İzlerini Gizleme

Saldırganlar, belirli bir işi tamamladıktan sonra kendi izlerini silmek için iş bitiminde otomatik olarak kendilerini silen işler oluşturabilirler. Bu tür teknikler, sisteme sızdıktan sonra varlığını sürekli hale getirmeye yardımcı olur.

Adım 10: Yetki Analizi

İş yönetim yetkileri olan kullanıcıların tespit edilmesi, ilgili operasyonların güvenliğini tehdit eden unsurları ortaya çıkartacaktır.

Adım 11: Defansif Sıkılaştırma

Scheduler istismarını önlemek adına ‘En Az Yetki’ ve ‘Ayrıştırılmış OS Kullanıcısı’ gibi yaklaşımların uygulanması, sistemin güvenliğini artıracaktır.

Adım 12: Nihai Hedef

Tüm bu adımların amacı, sisteme sızdıktan sonra varlığı sürekli hale getirmek ve sızma noktalarını korumaktır.

Sonuç olarak, Oracle Job Scheduler aracılığıyla gerçekleştirilebilecek istismarların teknik analizi, siber güvenlik uzmanlarının dikkatle incelemesi gereken bir konudur. Güvenlik önlemleri ve bilinçli yapılandırma, bu tür tehditlerden korunmak adına kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Analizi

Oracle Job Scheduler, sistem yöneticilerine zamanlanmış görevleri yönetme yeteneği sağlarken, aynı zamanda potansiyel güvenlik açıklarını da beraberinde getirir. Mevcut işlerin listelenmesi, ilk adım olarak önem arz eder. Örneğin, aşağıdaki SQL sorgusu kullanılarak sistemdeki tüm görevler izlenebilir:

SELECT owner, job_name, job_type 
FROM dba_scheduler_jobs;

Bu sorgu, sistemdeki tüm işlerin ve bunların hangi kullanıcı tarafından oluşturulduğunu gösterir. Eğer yüksek yetkili bir kullanıcının parolası ele geçirilirse veya yanlış yapılandırma yapılırsa, saldırganlar bu işlerin altında kalıcı arka kapılar oluşturabilirler. Kalıcı arka kapılar, sistemin güvenliği açısından ciddi bir tehdit oluşturmakta ve saldırganların sisteme yeniden giriş yapmasına imkan tanımaktadır.

Yorumlama

Her bir iş tipi, farklı istismar potansiyeline sahip olabilir. Örneğin, "PLSQL_BLOCK" veya "EXTERNAL_SCRIPT" gibi iş tipleri, potansiyel olarak veri tabanı içinde kötü niyetli kodlar çalıştırmak için kullanılabilir. Gözlemlenen loglar incelendiğinde, parolaların sıklıkla güncellendiği ya da şüpheli aktivitelerin gerçekleştirildiği tespit edilebilir. Özellikle, saldırganın sıklıkla kullandığı aşağıdaki şekilde bir iş oluşturması dikkat çekicidir:

DBMS_SCHEDULER.CREATE_JOB(
    job_name => 'STAY_IN_SYSTEM',
    job_type => 'PLSQL_BLOCK',
    job_action => 'ALTER USER attacker IDENTIFIED BY Hacked123',
    repeat_interval => 'FREQ=HOURLY'
);

Yukarıdaki kod, sistemdeki bir kullanıcının parolasını sürekli olarak değiştiren bir iş tanımlamaktadır. Bu durumda, sistemdeki kullanıcıların erişim haklarının dikkatle izlenmesi, siber güvenliği sağlamak açısından kritik öneme sahiptir.

Savunma Stratejileri

İstismarları önlemek için, "En Az Yetki" prensibi kesinlikle uygulanmalıdır. Bununla birlikte, Oracle Job Scheduler üzerinde yapılan her işlem, ayrıntılı olarak denetlenmeli ve loglama yapılmalıdır. Örneğin, kullanıcıların hangi işlemleri gerçekleştirdiğini izlemek için şu sorgu kullanılabilir:

SELECT grantee, privilege 
FROM dba_sys_privs 
WHERE privilege LIKE '%JOB%';

Bu sorgu, hangi kullanıcıların "CREATE JOB" yetkisine sahip olduğunu gösterir. Yüksek yetkili kullanıcıların erişimi sınırlandırılmalı ve gerektiğinde ayrıştırılmış işletim sistemi kullanıcıları atanmalıdır. Harici komutların hangi OS kullanıcısı ile çalıştırılacağına dikkat edilmeli ve mümkünse sınırlandırmalar getirilmelidir.

Ayrıca, planlanan işler tamamlandıktan sonra otomatik olarak silinmelerine olanak tanıyan AUTO_DROP parametresi kullanılabilir:

DBMS_SCHEDULER.CREATE_JOB(
    job_name => 'BACKDOOR_JOB',
    auto_drop => TRUE
);

Bu, sistemde kalıcılığı artırabilecek işlerin kontrol altında tutulmasını sağlar.

Sonuç

Oracle Job Scheduler üzerindeki zafiyetler, uygun yapılandırmalar yapılmadığında ciddi güvenlik ihlallerine yol açabilir. Yanlış yapılandırmalar ve yetki aşırmaları, saldırganlara sistemde kalıcı olarak kalabilme imkanı sunar. Bu nedenle, her bir işin dikkatlice izlenmesi, yetki kontrolü ve savunma stratejilerinin etkin bir şekilde uygulanması hayati öneme sahiptir. Siber güvenlik alanında bu tür tehditlerle baş edebilmek için sürekli eğitim ve güncelleme süreçlerinin yerinde olması gerekmektedir.