Yazılım tedarik zincirinde kritik bir güvenlik ihlali tespit edildi. Bir saldırgan, Kong’un DockerHub hesabına erişti ve meşru Kong Ingress Controller v.3.4.0 görüntüsünü kötü amaçlı bir sürümle değiştirdi.
Kong Ingress Controller sürüm 3.4.0’da kritik bir güvenlik açığı belirlendi. Bu güvenlik açığı, 23 Aralık 2024’te DockerHub’a yüklenen yetkisiz bir görüntüden kaynaklandı. Etkilenen görüntü (hash: sha256:a00659df0771d076fc9d0baf1f2f45e81ec9f13179f499d4cd940f57afc75d43) cryptojacking’i mümkün kılan kötü amaçlı kod içeriyordu.
Bu kötü amaçlı kod, denetleyiciyi bir kripto madenciliği sitesi olanpool.supportxmr.com’a yönlendirdi; bu, görüntünün gizlice kripto para birimi madenciliği yapan kodu içerdiği anlamına geliyor. Üstelik bu işlem, güvenliği ihlal edilmiş görüntüyü çalıştıran herhangi bir sistem tarafından yürütülür ve bu sistemler, etkin bir şekilde istenmeyen madencilik teçhizatlarına dönüştürülürdü.
Kong ekibi 2 Ocak 2025’te sorunun farkına vardı ve hızlı bir şekilde harekete geçti. Sürüm 3.4.0’ı ve ilgili tüm etiketleri DockerHub’dan kaldırdılar. Ayrıca DockerHub erişimi için kullanılan tüm erişim anahtarlarını da değiştirdiler. Son olarak, 2 Ocak 2025’te yamalı bir sürüm olan 3.4.1 yayınlandı. Bu sürüm, yetkisiz cryptojacking kodunu kaldırdı.
Şu anda 3.4.0 dışında herhangi bir Kong Ingress Controller sürümünün (özellikle yukarıda belirtilen görüntü karmasının) etkilendiğini gösteren hiçbir kanıt bulunmamaktadır.
Yapmanız Gerekenler:
Kong Ingress Controller sürüm 3.4.0’ı 22 Aralık 2024 ile 3 Ocak 2025 arasında dağıttıysanız hemen işlem yapılması gerekir. Bu görüntüyü tüm dahili kayıtlardan ve kümelerden kaldırmalısınız.
Sorunu düzeltmek için güvenlik açığı bulunan görüntüyü kaldırın (sha256:a00659df0771d076fc9d0baf1f2f45e81ec9f13179f499d4cd940f57afc75d43) dahili kayıtlardan ve kümelerden, yamalı sürüm 3.4.1’den ya da temiz sürüm 3.4.0’dan düzeltilmiş bir görüntü çekin.
3.4.0’ın temiz, yeniden etiketlenmiş sürümü için sabit görüntü karmaları şunlardır:
AMD64: sha256:b358296fa6a1458c977c0513ff918e80b708fa9d7721f9d438f3dfce24f60f4f
ARM64: sha256:e0125aa85a4c9eef7822ba5234e90958c71e1d29474d6247adc3e7e21327e8ee
Bu adımları atarak artık savunmasız bir görüntüyü çalıştırmadığınızdan emin olabilir ve sistemlerinizi cryptojacking girişimlerinden koruyabilirsiniz.
Yazılım tedarik zinciri güvenliği platformu Chainguard’ın CEO’su ve kurucusu Dan Lorenc, Hackread.com’a bu saldırıdaki temel sorunları ele alan ayrıntılı bir yorum sundu: “Tedarik zinciri ihlalleri oluyor ve kong/kubernetes-giriş-kontrolör görüntülerine benziyor” en son kurban olanlar onlar. Şu ana kadar bildiklerimiz şunlar:
- Sürüm görüntülerini yüklemek için kullanılan DockerHub PAT’in güvenliği 23 Aralık’tan önce ele geçirildi
- Saldırgan, bu PAT’yi 3.4.0 sürüm görüntüsünün kötü amaçlı bir sürümünü doğrudan DockerHub’a yüklemek için kullandı
- Bu görüntü, kripto para madenciliği yapmak ve sonuçları belirli bir cüzdana göndermek için kullanılan kodu içeriyordu
- Bir kullanıcı tarafından 29 Aralık’ta yüksek CPU kullanımı rapor edildi ve kötü amaçlı görüntüler 2 Ocak’ta kaldırıldı.
- Yeni sürümler yüklendi ve yükleme için kullanılan anahtarlar bakımcılar tarafından iptal edildi/döndürüldü
“Bunun gibi saldırılara karşı nasıl korunmalısınız? Bir bakımcı olarak sahip olduğunuz herhangi bir anahtar, sızdırabileceğiniz bir anahtardır” dedi Dan. “Bunun gibi PAT’lere erişimi olan tüm sistemleri kilitleyin ve düzenli olarak denetleyin veya bundan tamamen kaçınmak için OIDC tabanlı kimlik doğrulamasına izin veren sistemleri seçin. CI/CD işlem hatlarını güvenli bir şekilde yapılandırmanın oldukça zor olduğu biliniyor; Zizmor gibi araçlar (lnkd.in/eGSGrMqm) burada yardım edin. Yayınlamak için OIDC’yi kullanamasanız veya kullanıcılar aynalardan kontrolünüz dışında yararlansa bile, yapıtları imzalamak yardımcı olabilir.”
“Son kullanıcı olarak, üçüncü taraflardan aldığınız görüntüleri özetleyerek sabitleyin ve yükseltmeden önce bunları test/kötü amaçlı yazılım taraması yapın. Varsa imzaları kontrol edin,” diye açıkladı Dan.
Bununla birlikte kuruluşlara yönelik bir kripto madenciliği saldırısının, artan kaynak tüketimi, daha yüksek enerji maliyetleri ve çok sayıda güvenlik riski dahil olmak üzere ciddi sonuçları olabilir. Güvenliği ihlal edilen görüntü, saldırganların daha fazla erişim elde etmesine olanak tanıyarak güvenlik açıkları veya arka kapılar ortaya çıkarmış olabilir ve özellikle konteyner görüntüleri gibi kritik bileşenler için yazılım tedarik zinciri güvenliğinin önemini vurgulamış olabilir. Kuruluşlar, görüntü bütünlüğü doğrulama mekanizmalarını kullanmalı ve güvenlik açıklarını belirlemek ve azaltmak için düzenli güvenlik denetimleri yapmalıdır.
İLGİLİ KONULAR
- OracleIV DDoS Botnet, Docker Engine API Örneklerini Etkiliyor
- Kötü Amaçlı Yazılım 9 Hit’e Ulaştı ve Docker Sunucularını Kripto Madencilerine Dönüştürdü
- Bilgisayar korsanları Monero madenciliği için Bitbucket ve Docker Hub’ı ele geçirdi
- TeamTNT, Docker Kümelerine Yönelik Kötü Amaçlı Yazılım Saldırısında 16 Milyon IP’den Yararlanıyor
- Linux Kötü Amaçlı Yazılım Uyarısı: ‘Dönen YARN’ Docker’ı ve Diğer Önemli Uygulamaları Etkiliyor