Güvenlik araştırmacıları, bir Amazon EC2 örneğine yetkisiz erişim elde etmek için imleçin arka plan aracılarındaki güvenlik açıklarından başarılı bir şekilde yararlandı ve bulut altyapısıyla derinden entegre olan SaaS uygulamalarıyla ilişkili kritik riskler gösterdi.
Araştırmacılar, bulgularını derhal, kötüye kullanımı önlemek için önlemlerin mevcut olduğunu doğrulayan İmleç Güvenlik ekibine açıkladılar.
İlk keşif ve saldırı vektörü
Araştırmacılar, imleç arka plan ajanlarının spin-up süreci sırasında hemen daha derin bir soruşturma gerektiren şüpheli Docker operasyonlarını tespit ettiler.
Atılım, başlangıçta hata ayıklama ve şeffaflık amaçları için tasarlanmış imleç kullanıcı arayüzünde bir “terminal göster” düğmesi keşfettiklerinde geldi.
Bu özellik, yerel ortamdan ziyade uzak bir makineye görünen şeye doğrudan komut satırı erişimini sağladı.
Bu terminal erişimi sayesinde, araştırmacılar uzak altyapıdaki komutlar yürüttü ve ilk tabanlarını temel sistem mimarisine kurdular.
Meydan okulu makinedeki Ubuntu kullanıcısı, imleç ajanının paketleri çekmesi ve bağımlılıkları yüklemesi için gerekli olan tasarımla yüksek ayrıcalıklara sahipti.
Teknik Altyapı Analizi
Kök erişimi sağlandıktan sonra, linpeas.sh gibi penetrasyon test araçları kullanılarak kapsamlı numaralandırma, imlecin arka plan ajan düzenlemesi hakkında büyüleyici ayrıntılar ortaya koydu.
Araştırmacılar, ajanın GitHub ile kimlik doğrulaması yapmak için bir sunucudan sunucuya jeton kullandığını, taahhütler gibi eylemleri gerçekleştirdiğini ve kendisini “imleç aracısı” olarak tanımladığını keşfettiler.
Kullanıcı depolarına kapsamlı olan bu jeton, yetkisiz depo erişimi için potansiyel istismar vektörleri sundu.
Altyapı analizi, tarama işlemleri de dahil olmak üzere aracı işlevselliğinin bir parçası olarak gerekli eylemleri gerçekleştiren Node.js sunucusu ve istemci bileşenlerini ortaya çıkardı.
Örnek, AWS içinde önemli bir 1 TB depolama kapasitesi ile sağlandı ve süreci düzenlemek için özel bir Docker görüntü çalışması kullanıldı.
Araştırmacılar, bir AWS makinesinde çalışan düzenlenmiş bir Docker örneğinde kendilerini kök erişimi ile buldular.
Hacim montaj keşfi sayesinde, ana makinenin kendi hacimlerini Docker örneği ile paylaştığını belirlediler ve kök ayrıcalıkları ile bu paylaşılan hacimler içindeki herhangi bir yere yazabilirler.
Docker örneğinden kök erişimine sahip oldukları ve paylaşılan depolamaya erişim yazdıkları için, araştırmacılar kendi SSH anahtar çiftlerini oluşturabilir, genel anahtarı /root/.ssh/authorized_keys ve SSH’ye doğrudan IP adresindeki ana makineye yazabilirler.
Bu olay, bulut altyapı erişimi ile masaüstü uygulamalarında kritik güvenlik açıklarını vurgulamaktadır.
Araştırmacılar, İmleç’in makine izinleri, AWS rolleri ve VPC konfigürasyonlarının iyi tanımlanmış ve yoğun bir şekilde kısıtlanmış olmasına rağmen, güven ilişkileri yoluyla ayrıcalık artış potansiyelinin ilgili olduğunu vurguladılar.
AWS EC2 makinesi üzerindeki tam kontrol, kapsamlı GitHub sunucudan sunucuya jetonlarla birleştiğinde, kripto para madenciliği veya yetkisiz veri açığa çıkması gibi kötü niyetli aktiviteler için potansiyel sunar.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now