Araştırmacılar, Atlassian’ın Bitbucket kod deposu aracındaki bir kusurun, tehdit aktörlerinin Bitbucket yapılarında düz metin olarak sızdırılan kimlik doğrulama sırlarını kullanarak AWS hesaplarını başarılı bir şekilde ihlal etmesine olanak tanıdığını keşfetti.
Bitbucket, değişkenleri saklamanın bir yolunu sağlayarak geliştiricilerin kod yazarken bunlara hızla başvurmasına olanak tanır. Yöneticiler ayrıca değerlerinin düz metin olarak okunmasını önlemek için Bitbucket Pipelines’ın bir parçası olarak değişkenleri “güvenli” olarak ayarlayabilir.
Ancak bu sistemde yakın zamanda keşfedilen kusur, işlem hattı çalıştırmaları sırasında oluşturulan yapay nesnelerin bu güvenli değişkenleri düz metin biçiminde açığa çıkarmasına neden olabilir.
BitBucket Yapıları Düz Metinde Sırlar İçeriyor
Bitbucket’e entegre edilen Bitbucket Pipelines CI/CD hizmeti, oluşturma ve test sürecinin sonraki aşamalarında kullanılmak üzere değişkenleri, dosyaları ve dizinleri depolamak için yapay nesneleri kullanır. Bitbucket’in “Güvenli Değişkenler” özelliğinin, AWS anahtarları gibi hassas bilgileri Bitbucket ortamında şifrelendiğinden güvenli bir şekilde sakladığı, değerlerinin doğrudan erişimini ve günlüğe kaydedilmesini önlediği belirtiliyor.
Geliştiriciler, güvenli değişkenler de dahil olmak üzere tüm ortam değişkenlerini bir metin dosyasında depolamak için printenv komutunu kullanır ve bu daha sonra bir yapay nesneye eklenir.
Ancak Mandiant’tan araştırmacılar, bu sistemdeki kritik bir kusurun, ardışık düzen çalıştırmaları sırasında oluşturulan yapay nesnelerin bu güvenli değişkenleri düz metin olarak içermesine neden olduğunu keşfetti. Geliştiriciler bu sırların yapı dosyalarında açığa çıktığının farkında olmadığından, yanlışlıkla gizli değerlerin, tehdit aktörlerinin bunları çalabileceği halka açık depolara gönderilmesine neden olabilirler.
Araştırmacılar, tehdit unsurunun, hassas değişkenleri düz metin olarak görüntülemek için metin dosyası yapıtlarını kolayca açabileceğini, verileri çalmak veya diğer kötü amaçlı etkinlikleri gerçekleştirmek için kullanılabilecek kimlik doğrulama sırlarını kolayca çalabileceğini belirtiyor.
Araştırmacılar, geliştirme ekiplerinin sorun giderme için web uygulaması kaynak kodundaki Bitbucket yapıtlarını kullandığı ve gizli anahtarların düz metin değerlerini bilmeden açığa çıkardığı örnekleri kaydetti. Bu durum, bu anahtarların halka açık internette açığa çıkmasına ve saldırganların yetkisiz erişim için bu anahtarlardan yararlanmasına yol açtı.
Araştırmacılar BitBucket Güvenlik Açığı Kopyalama Konusunda Kılavuzu Paylaşıyor
Araştırmacılar, güvenlik açığının kanıtı olarak, Bitbucket ortamında sır sızıntısının yeniden oluşturulmasına ilişkin adım adım talimatları paylaştı. Bu adımlar arasında güvenli bir değişkenin tanımlanması, bir ortam yapısı oluşturmak için bitbucket-pipelines.yml dosyasının güncellenmesi ve açığa çıkan sırları görüntülemek için yapının indirilmesi ve bu yapıya erişilmesi yer alıyordu.
Araştırmacılar, BitBucket Pipeline sırlarını korumak için aşağıdaki önerileri paylaştı:
- Sırları özel bir sır yöneticisinde saklamak ve ardından bu değişkenlere Bitbucket deponuzda saklanan kodda referans vermek.
- Gizli bilgileri düz metin dosyaları olarak açığa çıkarmadıklarından emin olmak için Bitbucket yapı nesnelerini yakından incelemek.
- Üretime dağıtılmadan önce kodda depolanan sırları yakalamak için işlem hattınızın tüm yaşam döngüsü boyunca kod taramasını dağıtma.
Ancak araştırmacılar, bulguların BitBucket’e karşı bir suçlama olmadığını, daha ziyade zararsız görünen davranışların çığ gibi büyüyerek kritik güvenlik sorunlarına ne kadar hızlı dönüşebileceğinin bir gözlemi olduğunu belirtti.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.