Araştırmacılar 50.500 dolar kazandı Böcek ödül Yeni edinilen bir firmada kritik bir tedarik zinciri kusurunu ortaya çıkardıktan sonra, iş satın alımlarındaki güvenlik risklerini vurgulayın.
İki siber güvenlik araştırmacısı, büyük bir şirketin yazılım tedarik zincirinde kritik bir kırılganlık bulduktan sonra 50.500 dolarlık bir böcek ödülüyle uzaklaştı. İstismar, yakın zamanda satın alınan bir şirketi hedef aldı ve yaygın sonuçlara sahip olabilecek bir kusuru ortaya çıkardı.
İkili, Lupin (Roni Carta) ve Snorlhax, bir işbirliği geçmişine sahiptir; Son zamanlarda odağını sık sık gözden kaçan iş edinim alanına çevirdi. Bu entegrasyonların, yeni edinilen kuruluşların ana şirketleriyle her zaman aynı titiz güvenlik standartlarını desteklemeyebileceği için güvenlik boşluklarını sıklıkla sunduğunu fark ettiler. Bu içgörü avlarını “oyun değiştiren” bir güvenlik açığı için yönlendirdi.
Onların yaklaşımı, kod depoları ve paket kayıtları da dahil olmak üzere edinilen şirketin çevrimiçi varlığının ayrıntılı bir incelemesiyle başladı. Araştırmacılar, bağımlılıkları tanımlamak ve olası kusurları ortaya çıkarmak için JavaScript dosyalarını soyut sözdizimi ağaçlarına (ASTS) ve Docker görüntü analizine dönüştüren gelişmiş teknikler kullandılar. Bu soruşturma onları satın almaya bağlı bir Dockerhub kuruluşuna götürdü.
Gerçek atılım, araştırmacılar bir Docker görüntüsünü indirip inceledikten sonra meydana geldi. İçeride, şirketin arka uç sistemleri için tam kaynak kodunu keşfettiler. Ancak araştırmacılar daha da hassas bilgiler ortaya çıkardıkça hikaye burada bitmedi.
Lupin’in teknik blog yayınına göre, ikili hala görüntüye bir “.git” klasörünün dahil edildiğini keşfetti. Klasör içinde GitHub Eylemleri (GHS) için bir yetkilendirme jetonu buldular. Bu jeton, eğer sömürülürse, saldırgana şirketin yapı boru hatlarını manipüle etme yeteneği verebilirdi. Jeton, kötü amaçlı kod enjekte etmelerine, yazılım sürümlerine kurcalamalarına veya hatta ek depolara erişmelerine izin verebilirdi.
Daha fazla araştırma, Docker görüntüsünün .npmrc yapılandırma dosyasını kaldırdığını ortaya koydu, ancak araştırmacılar görüntünün daha önceki katmanlarının hala izlerini tutabileceğini fark ettiler. Bu katmanları keşfetmek için Dive ve Dlayer gibi araçlardan yararlandılar ve sonuçta özel bir NPM jetonu buldular. Bu jeton, hedef şirketin özel paketlerine okuma ve yazma erişimini sağladı.
Ekip, şirketin geliştiricilerinin, boru hatlarının ve üretim sistemlerinin daha sonra otomatik olarak getireceği özel paketlerden birine kötü amaçlı kod ekleme yolu olduğunu fark etti. Bunlar özel paketler olduğundan, saldırı güvenlik taramalarını atlayacak ve her seviyedeki sistemleri büyük ölçekli veri hırsızlığı ve veri ihlallerine yol açan sistemden ödün vermelerini sağlayacaktır.
Yazılım tedarik zinciri güvenlik açıkları son aylarda binlerce işletmeyi etkiledi. Snowflake Inc., Blue Yonder ve Moveit transferi gibi şirketleri hedefleyen siber saldırılar, dünya çapında organizasyonları etkileyen sömürülmeye devam ediyor.
İyi haber şu ki, ikili bulgularını belgeledi ve güvenlik açığının etkilenen şirketin güvenlik ekibine etkisini gösterdi. Raporları, saldırganların sırları toplamak, dahili sistemlere sızmak ve CI/CD boru hatlarını tehlikeye atmak için zehirli bir NPM paketini nasıl kullanabileceğini özetledi. Sonuç olarak, şirket araştırmacılara kırılganlığın ciddiyetini tanıyan 50.500 dolarlık bir hata ödülünü verdi.
Bu olay, gözden kaçan birden fazla kusur bir araya geldiğinde saldırıların nasıl başarılı olabileceğini gösteriyor. Bu durumda, sorun yeni edinilen bir şirkette yazılım tedarik zinciri boşluklarından ve güvenlik kusurlarından kaynaklandı. Ekip, kodun kendisinden ilgili bileşenlere ve harici paketlere kadar yapım sürecinin her parçasını güvence altına almanın önemine dikkat çekti. Bir yazılım geliştirme boru hattının korunmasının nasıl basit olmadığına bir örnektir; Her ayrıntıya dikkat edilmesini gerektirir.
İlgili Konular
- MultiCain Hack: Hacker 1 milyon dolar döndürüyor, Bug Bounty olarak 150 bin dolar tutuyor
- Apple ‘Apple Intelligence’ı başlattı – güvenlik için 1 milyon dolarlık hata ödül
- Google, KVM istismarları için 250.000 $ kvmctf hata ödülünü başlattı