Amazon Web Services (AWS) yönetim konsolunu hedef alan yeni bildirilen bir tedarik zinciri saldırısı, geliştirici topluluğu genelinde alarmlara yol açtı.
Siber güvenlik araştırmacıları, tehdit aktörlerinin yanlış yapılandırılmış AWS kimlik bilgilerinden ve entegre GitHub eylemlerinden yararlanarak depoları ele geçirdiğini ve açık kaynaklı projelere kötü amaçlı kod enjekte ettiğini keşfetti.
Olayı ortaya çıkaran güvenlik firmasına göre saldırganlar, GitHub depolarında veya geliştirici ortamlarında depolanan, güvenliği ihlal edilmiş AWS IAM anahtarlarından yararlanıyor.
Bu kimlik bilgileri alındıktan sonra saldırganlar AWS Web Konsolu aracılığıyla oturum açabilir, geçerli izinleri alabilir ve AWS CodePipeline ve CodeBuild’e bağlı GitHub depolarındaki verileri değiştiren veya sızdıran kötü amaçlı iş yüklerini dağıtabilir.
Saldırı zinciri, geliştiricilerin yanlışlıkla hassas erişim belirteçleri içeren yapılandırma dosyalarını işleme koymasıyla başlar.
Tehdit aktörleri, otomatik komut dosyaları kullanarak bu sırları bulmak için herkese açık GitHub depolarını tarar. Geçerli kimlik bilgileri alındıktan sonra AWS hesaplarında kimlik doğrulaması yapılır ve GitHub projelerine bağlı CI/CD işlem hatlarından yararlanılır.
Bu, arka kapılı taahhütleri sessizce göndermelerine veya devam eden dağıtımlarda yasal yapı yapılarını değiştirmelerine olanak tanır.
Güvenlik analistleri, bu istismarın otomatik derleme süreçlerine dayanan yazılım tedarik zincirleri için ciddi bir risk oluşturduğu konusunda uyarıyor.
Uygulamalar farkında olmadan tehlikeye atılmış bağımlılıklar içerebilir ve bu da yaygın alt akış enfeksiyonlarına yol açabilir.
Belgelenen bir vakada saldırganlar, derleme altyapısı içinde kötü amaçlı komutlar dağıtmak için AWS Lambda işlevlerini kullandı ve kimlik bilgileri iptal edildikten sonra bile onlara kalıcı erişim sağladı.
AWS, geliştiricilerin en az ayrıcalıklı erişim politikalarını benimsemesini, IAM anahtarlarını düzenli olarak değiştirmesini ve statik kimlik bilgileri yerine hizmet rollerini kullanmasını önerir.
GitHub kullanıcılarından gizli taramayı etkinleştirmeleri, şube koruma kurallarını uygulamaları ve yetkisiz faaliyetlere karşı taahhüt geçmişlerini izlemeleri isteniyor.
Bu olay, AWS tarafından bildirildiği üzere bulut ve geliştirme ekosistemlerinin ne kadar sıkı bir şekilde entegre hale geldiğini ve yanlış yapılandırmaların ne kadar kolay bir şekilde büyük saldırı vektörlerine dönüşebileceğini vurguluyor.
Kuruluşların otomatikleştirilmiş DevOps işlem hatlarına giderek daha fazla bağımlı hale gelmesiyle, bu ara bağlantıların güvenliğinin sağlanması artık isteğe bağlı değil; gelecekteki tedarik zinciri risklerini önlemek için hayati önem taşıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.