Dobrodošli u CypSec Grupaciju
Specijalizovani smo za naprednu odbranu i inteligentno praćenje radi zaštite vaših digitalnih resursa i poslovanja.
Uncovering invisible attack paths across application tiers.
München, Nemačka – 19. septembar 2025.
Troslojne arhitekture su standardni model za moderne preduzeć́e aplikacije, odvajajući prezentaciju, aplikacionu logiku i slojeve podataka. Iako ovaj dizajn poboljšava skalabilnost i održavanje, Rasotec-ovi pentesti redovno otkrivaju da istovremeno stvara skrivene mogućnosti bočnog kretanja. Često se previde jer arhitektura izgleda segmentirano, ali u praksi nije.
Pretpostavka je da kompromitovanje prednjeg sloja ne pruža direktan put do osetljivih sistema. Međutim, Rasotech često pronalazi slabe granice poverenja između slojeva, omogućavajući napadačima da se kreću sa servera okrenutih korisnicima ka internim serverima aplikacione logike i na kraju ka pozadinskim bazama podataka. Jednom unutar aplikacione mreže, bočno kretanje postaje trivijalno.
Jedan uobičajen problem su deljene servisne naloge. Mnoge 3-slojne implementacije koriste iste kredencijale ili previše privilegovane naloge za komunikaciju između slojeva. Ako napadač kompromituje veb server, nasleđuje te kredencijale i može se direktno autentifikovati ka aplikacionim ili serverskim bazama podataka bez eskalacije privilegija.
Druga slabost je nedostatak izolacije na nivou mreže. Iako su slojevi logički odvojeni, Rasotec često posmatra ravne podređene mreže gde bilo koji server može dostići bilo koji drugi. To znači da uporište u DMZ može direktno komunicirati sa internim aplikacionim serverima, zaobilazeći očekivanu segmentaciju.
3-slojni dizajni obećavaju izolaciju, ali mi često pronalazimo veze poverenja koje ih pretvaraju u autoputeve za napadače, izjavio je Rick Grassmann, izvršni direktor u Rasotec.
Pogrešno konfigurisani middleware i brokeri poruka takođe stvaraju tačke prelaska. Aplikacioni serveri često veruju bilo kom sistemu na internoj mreži da se poveže, bez prave autentifikacije ili sprovođenja TLS. Napadači mogu lažirati pouzdane servise da bi ubacili komande ili ukrali podatke između slojeva bez okidanja upozorenja.
Ovi rizici su uvećani u hibridnim ili cloud hostovanim 3-slojnim okruženjima. Preklapajući identitet sistemi, neusklopljeni IAM uloge i deljene tajne čuvane u build pipeline-ovima često daju napadačima više ruta između slojeva. Rasotec često ulančava ove slabosti da bi se kretao od cloud veb interfejsa ka on-prem bazi podataka.
Tradicionalna skeniranja ranjivosti retko otkrivaju ove napadne puteve jer to nisu pojedinačne greške, već lanci pretpostavki o poverenju. Ručno, protivnikom-simulirano pentestiranje je neophodno da bi se mapirale prave mogućnosti bočnog kretanja kroz slojeve i pokazalo kako bi ih napadači iskoristili.
Rasotec-ovi pentesi fokusiraju se na ovu analizu preko slojeva. Kombinovanjem revizije kredencijala, mapiranja mrežnih puteva i tehnika iskorištavanja ponašanja otkrivaju skrivene puteve kretanja koje potkopavaju navodno segmentirane 3-slojne arhitekture.
O Rasotec: Rasotec je jedan od najbližih partnera CypSec i butik bezbednosna firma specijalizovana za ručno pentestiranje složenih veb, mobilnih i infrastrukturnih okruženja. Njegov tim se fokusira na otkrivanje propusta logike, ulančanih napadnih puteva i visoko-uticajnih ranjivosti koje automatizovani alati previde. Za više informacija posetite rasotec.com.
Kontakt za medije: Rick Grassmann, izvršni direktor u Rasotec - rick.grassmann@rasotec.com.
Specijalizovani smo za naprednu odbranu i inteligentno praćenje radi zaštite vaših digitalnih resursa i poslovanja.
