Bulut Güvenliği, Güvenlik Operasyonları
Saldırganlar, Google’ın ve Müşterilerinin Sunucularında Kötü Amaçlı Kod Çalıştırmak İçin Bu Kusuru Kullanabilir
Prajeet Nair (@prajeetskonuşuyor) •
16 Eylül 2024
Tenable araştırmacıları, Google’ın bulut platformu Cloud Composer hizmeti “CloudImposer”da kritik bir uzaktan yürütme açığını kapattığını ve bunun saldırganların milyonlarca sunucuyu tehlikeye atmasına olanak sağlayabileceğini söyledi.
Ayrıca bakınız: Splunk Enterprise Security için En İyi 5 Kullanım Örneği
Bu kusur, saldırganların hem Google’ın sunucularında hem de müşterilerinin sunucularında kötü amaçlı kod çalıştırmak için istismar edebileceği Google’ın altyapısındaki belirli yazılım paketlerinin kurulum sürecinden kaynaklandı. Ağustos ayının başlarında Tenable tarafından keşfedilen bu güvenlik açığı, App Engine, Cloud Functions ve Cloud Composer gibi GCP hizmetlerini büyük ölçekli tedarik zinciri saldırılarına karşı riske soktu.
Google, Python adlı bir komutun kullanılmasını önerdi –extra-index-url istemeden sistemleri bağımlılık karışıklığı saldırılarına karşı savunmasız hale getirdi. Bunlar, saldırganların kötü amaçlı paketleri genel bir kayıt defterine yüklemesi ve sistemleri amaçlanan yazılım yerine tehlikeye atılmış yazılımı indirmeye ve yüklemeye kandırmasıyla meydana gelir, dedi Tenable.
CloudImposer’ı kullanan bir saldırgan, teorik olarak, bir paketi genel PyPI deposuna yükleyerek milyonlarca GCP sunucusunda kod çalıştırabilir. Buna karşılık, Google bu tür saldırıları önlemek için paket yükleme sürecini güncelledi.
CloudImposer güvenlik açığı Jenga Tower etkisine yol açabilir – bulut hizmetleri karmaşık bir şekilde birbirine bağlıdır, yani bir hizmetteki bir ihlal, birbirine bağlı platformlara yayılabilir. Örneğin GCP Composer, saldırganlar için başka bir potansiyel istismar katmanı ekleyen Google Kubernetes Engine üzerine kurulmuştur.
İstismar sonrasında siber suçlular, GKE tekniklerini kullanarak GCP Composer sistemlerine daha fazla sızabilirler.
Güvenlik açığının büyük ölçekli yapısı, bulut ortamlarını güvence altına almanın zorluklarını vurgular. GCP hizmetleri geniş ağlara yayılmışken, CloudImposer gibi tek bir güvenlik açığı orantısız bir etkiye sahip olabilir ve kullanıcıları tehlikeye atabilir.
Araştırmacılar, geliştiricileri paket kurulum süreçlerini gözden geçirmeye ve bağımlılık karışıklığı saldırılarını önlemek için uygun güvenlik önlemlerinin alındığından emin olmaya teşvik etti.