Siber güvenlik araştırmacıları, bir saldırganın Apache hava akışına dayanan bulut besteci iş akışı düzenleme hizmetindeki ayrıcalıklarını yükseltmesini sağlayabilen Google Cloud Platform’da (GCP) şimdi daplanmış bir güvenlik açığı detaylandırdı.
Tenable Kıdemli Güvenlik Araştırmacısı Liv Matan, Hacker News ile paylaşılan bir raporda, “Bulut bestecisinde düzenleme izinleri olan saldırganların, bulut yapısı, bulut depolama ve eser kaydı gibi GCP hizmetleri arasında üst düzey izinlere sahip olan varsayılan bulut oluşturma hizmeti hesabına erişimini artırmasına izin veriyor.” Dedi.
Eksiklik, Siber Güvenlik Şirketi tarafından ConfusedComposer olarak adlandırıldı ve bunu karışık işlev bozukluğunun bir çeşidi olarak tanımladı, GCP’nin bir saldırganın diğer hizmetlere ve hassas verilere yetkisiz bir şekilde erişmek için kullanabileceği bulut işlevleri hizmetini etkileyen bir ayrıcalık artış kırılganlığı.
Açıklama, kötü niyetli bir aktörün konteyner görüntülerine erişmesine ve hatta kötü amaçlı kod enjekte etmesine izin verebilecek GCP Cloud Run adlı ImagerUnner’da, başka bir ayrıcalık yükseltme kırılganlığından haftalar sonra gelir.
ImagerUnner gibi, ConfusedComPoser da Jenga konseptinin bir başka örneğidir, bu da bulut hizmeti sağlayıcıları mevcut olanların üzerinde yeni hizmetler oluşturduğunda güvenlik sorunlarının bir hizmetten diğerine devralınmasına neden olur.
İstismar, bir bulut bestecisi ortamını (yani, besteci.Environments.update) düzenleme izni olan saldırganın menteşeleri, bulut yapısı yoluyla artan ayrıcalıkları enjekte edebilecek bir kötü niyetli Python Paket Dizini (PYPI) paketi enjekte edebilecek.
Bulut bestecisinin, kullanıcıların ortamlarına özel PYPI paketleri yüklemelerine izin vermesi nedeniyle saldırı mümkün olmuştur, böylece bir düşmanın kötü niyetli paketleri içindeki kurulum komut dosyalarını kullanarak ilişkili bulut yapı örneği içinde keyfi kod yürütmesini sağlar.
Matan, “ConfusedComposer önemlidir çünkü bulut hizmetleri arasındaki sahne arkası etkileşimlerinin ayrıcalık artışı yoluyla nasıl kullanılabileceğini ortaya koyuyor.” “Bu durumda, bir saldırganın sadece bulut depolama ve artefakt kayıt defteri gibi kritik GCP hizmetlerine erişmek için bir bulut besteci ortamını güncelleme iznine ihtiyacı vardır.”
Kusurun başarılı bir şekilde kullanılması, bir saldırganın hassas verileri sifonlamasına, hizmetleri bozmasına ve CI/CD boru hatlarında kötü amaçlı kod dağıtmasına izin verebilir. Ayrıca, ödün verilen bulut ortamlarına kalıcı erişim sağlayabilecek arka fırınların dağıtımının yolunu açabilir.
Tenable tarafından sorumlu açıklamanın ardından Google, PYPI paketlerini yüklemek için Bulut Yapı Hizmeti hesabının kullanımını ortadan kaldırarak 13 Nisan 2025 itibariyle güvenlik açığını ele almıştır.
“Çevrenin hizmet hesabı bunun yerine kullanılacak,” dedi Google, 15 Ocak 2025’teki bir duyuruda. “Daha önce varsayılan bulut oluşturma hizmeti hesabını kullanan mevcut bulut besteci 2 ortamları bunun yerine ortamın hizmet hesabını kullanmaya geçecek.”
“Bulut Besteci 2 Ortamları 2.10.2 ve daha sonraki sürümlerde oluşturulan bu değişikliğe sahip. Bulut besteci 3 ortamları zaten çevrenin hizmet hesabını kullanıyor ve bu değişiklikten etkilenmiyor.”
Açıklama, Varonis tehdit laboratuvarlarının Microsoft Azure’da, Azure SQL sunucusuna ayrıcalıklı erişimi olan bir tehdit aktörünün, yapılandırmaları yönetici eylemi üzerine veri kaybına neden olacak şekilde değiştirmesine izin verebilecek bir güvenlik açığını ortaya çıkarmasıyla ortaya çıkıyor. Microsoft, 5 Ağustos 2024’te farkına varıldıktan sonra 9 Nisan 2025 itibariyle sorunu tamamen düzeltti.
Şirket, yıkıcı saklanan URL parametresi enjeksiyon güvenlik açığının, Transact-SQL (T-SQL) kullanılarak oluşturulan sunucu güvenlik duvarı kuralları için karakter sınırlaması eksikliğinden kaynaklandığını söyledi.
Güvenlik Araştırmacı Coby Abrams, “Azure SQL sunucusuna ayrıcalıklı erişime sahip bir tehdit aktörü olan T-SQL aracılığıyla sunucu düzeyinde güvenlik duvarı kurallarının adını manipüle ederek, belirli kullanıcı eylemlerine dayanarak, kullanıcının izinleri olan keyfi Azure kaynaklarını siler.” Dedi.
Diyerek şöyle devam etti: “Bu güvenlik açığından yararlanan bir tehdit aktörünün etkisi, etkilenen Azure hesabında büyük ölçekli veri kaybı olabilir.”
Ayrıca, Datadog Güvenlik Laboratuarlarının, bir saldırganın seçilen kullanıcıların küresel bir yönetici tarafından bile değiştirilmesini, silinmesini veya devre dışı bırakılmasını önlemesini sağlayabilecek Microsoft Entra ID ID ID kısıtlı yönetim birimlerinde bir hataya ışık tutması nedeniyle gelir.
Güvenlik araştırmacısı Katie Knowles, “Ayrıcalıklı bir saldırgan, bu hatayı kontrolleri altındaki bir hesabı korumak için kullanabilir ve herhangi bir ENTRA kimliği yöneticisinin sınırlanmasını önleyebilir.” Dedi. Bu, şifreleri sıfırlama, kullanıcı oturumlarını iptal etme, kullanıcıları silme ve kullanıcı çok faktörlü kimlik doğrulama (MFA) yöntemlerini temizleme gibi çeşitli görevleri içeriyordu.
Sorun, 19 Ağustos 2024’teki sorumlu açıklamanın ardından 22 Şubat 2025 itibariyle Windows Maker tarafından belirlendi.
Son haftalarda, tehdit aktörleri, meta veri bilgilerini çıkarmak için sunucu tarafı isteği Apgene (SSRF) güvenlik açıklarından yararlanarak Amazon Web Services (AWS) Elastik Compute Cloud (EC2) örneklerinde barındırılan web sitelerinde manzaralarını eğitti.
F5 Labs araştırmacısı Merlyn Albery-Speyer, “EC2 örneği meta verileri, AWS tarafından sağlanan bir EC2 örneğinin, doğrulama zamanında gerekli bilgilere doğrulama veya harici API çağrıları yapmaya gerek kalmadan erişmesine izin veren bir özelliktir.” Dedi. “Kamu veya özel IP adresi, örnek kimliği ve IAM rolü bilgileri gibi bilgileri ortaya çıkarabilir. Bunun çoğu saldırganlara ilgi duyulan hassas verilerdir.”