Araştırmacılar, önemli bir yazılım tedarik zinciri kırılganlığı buldular, bu da büyük bir şirketin hata ödül programından 50.500 dolarlık olağanüstü bir ödül ile sonuçlandı.
İkilinin başarısı, yazılım tedarik zincirini güvence altına almanın artan önemini ve kurumsal satın almalar sırasında gözden kaçan varlıkların ortaya koyduğu riskleri vurgulamaktadır.
Hedef: Yeni edinilen bir yan kuruluş
Snorlhax ve işbirlikçileri takma adları tarafından bilinen iki etik bilgisayar korsanı, hedef şirketleri tarafından yakın zamanda edinilen bir yan kuruluşu belirleyerek başladı.
Bu tür satın almaların genellikle ana şirketin titiz güvenlik standartlarına bağlı kalmada geciktiğini varsaydılar.
Bu iştirakte odaklanarak, entegrasyon sırasında göz ardı edilebilecek güvenlik açıklarını ortaya çıkarmayı amaçladılar.
Keşifleri, kurumsal duyuruları, LinkedIn profillerini ve JavaScript dosyaları gibi teknik eserleri incelemeyi içeriyordu.
SWC (hızlı web derleyicisi) kütüphanesi aracılığıyla soyut sözdizimi ağaçları (ASTS) gibi araçları kullanarak, özel paket ad alanlarına yapılan referansları tanımlamak için JavaScript bağımlılıklarını analiz ettiler.
Bu, onları özel paket kullanımını ima eden bağlı ortaklığa bağlı bir NPM kuruluşuna götürdü.
GitHub’da doğrudan sızıntı bulamadıktan sonra, araştırmacılar dikkatlerini Dockerhub’a çevirdi. Bağlı ortaklığın ana ürünlerinden biriyle ilişkili bir Docker görüntüsü keşfettiler.
Görüntüyü indirip inceledikten sonra altın vurdular: tescilli arka uç kaynak kodu ve açık bir .git klasörü içeriyordu.
.Git/config dosyasının içinde, kodlanmış bir GitHub Eylemler jetonu (GHS) buldular.
Tipik olarak CI/CD iş akışları için kullanılan bu jeton, Docker görüntüsünde yanlışlıkla erişilebilir kaldı. Bu tür jetonlar, son kullanma işleminden önce kullanılırsa saldırganların kaynak kodu depolarını veya CI/CD boru hatlarını manipüle etmelerini sağlayabilir.
Docker katmanlarını sömürmek
Araştırmacılar, görüntüyü oluşturmak için kullanılan DockerFile’ın bir NPM jetonu içeren bir .npmrc dosyası içerdiğini, ancak daha sonraki bir oluşturma adımında kaldırıldığını fark ettiler.
Docker görüntü katmanlarının incelenmesine izin veren Dive ve Dlayer gibi araçlardan yararlanarak, .npmrc dosyasının ve jetonunun hala mevcut olduğu önceki katmanları aldılar.
Bu NPM jetonu, bağlı ortaklığın ad alanı altındaki özel paketlere okuma ve yazma erişimini sağladı.
Araştırmacılar, bu paketlere kötü amaçlı kod enjekte edebileceklerini fark ettiler, bu da daha sonra geliştiricilerin ortamları, CI/CD boru hatları ve hatta üretim sunucuları tarafından otomatik olarak getirilecek.
Potansiyel etki
- Kötü niyetli paketler kimlik bilgilerini toplayabilir veya diğer sistemlere dönebilir.
- Tahmin edilen boru hatları hassas ortam değişkenlerini ortaya çıkarabilir veya ayrıcalıkları artırabilir.
- Otomatik dağıtım işlemleri kötü amaçlı kodu canlı ortamlara yayabilir.
Bu zincir reaksiyonu, yapı eserlerini ele almada tek bir gözetimin tüm bir yazılım yaşam döngüsünü nasıl tehlikeye atabileceğini gösterdi.
Şirket, bu güvenlik açığını, üretim-üretim ortamlarındaki potansiyel etkisi nedeniyle en kötü senaryo olarak sınıflandırmıştır.
50.500 dolarlık ödül şiddetini yansıttı. Snorlhax ve işbirlikçileri için bu keşif, yıllarca becerilerini geliştirmenin doruk noktasını işaret etti ve gözden kaçan saldırı yüzeylerini – edinimleri ve tedarik zincirlerini birleştirme konusundaki benzersiz yaklaşımlarını doğruladı.
Dünyanın dört bir yanındaki güvenlik uzmanları için bu hem bir uyarı hem de ilham kaynağıdır: genellikle en ciddi kusurlar, Docker görüntüleri veya Forgotten.git klasörleri gibi beklenmedik yerlerde gizlenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free