Güvenlik araştırmacıları bu hafta, Google Cloud Platform’daki (GCP) kritik bir uzaktan kod yürütme (RCE) açığının, saldırganların Google’ın milyonlarca sunucusunda kötü amaçlı kod çalıştırmasına olanak tanıyabileceğini açıkladı.
Tenable Research tarafından “CloudImposer” olarak adlandırılan bu kusur, daha sonra Google tarafından düzeltildi.
Güvenlik açığı, Apache Airflow tabanlı yönetilen bir iş akışı düzenleme aracı olan GCP’nin Cloud Composer hizmetinde keşfedildi. Hizmetin bağımlılık karışıklığı saldırılarına açık kalmasına neden olan riskli bir paket yükleme sürecinden kaynaklandı.
Tenable araştırmacıları Google’ın “–ekstra-indeks-url” argümanı Cloud Composer’a özel Python paketleri yüklerken. Bu argüman, paket yöneticisine hem özel hem de genel depoları kontrol etmesini söyler ve potansiyel olarak saldırganların genel kaynaklardan kötü amaçlı paketler yüklemesini sağlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Tenable’da güvenlik araştırmacısı olan Liv Matan, “CloudImposer, saldırganların yazılım kanallarını düzenleyen Google Cloud Platform’un Cloud Composer hizmetini tehlikeye atarak büyük bir tedarik zinciri saldırısı gerçekleştirmesine olanak tanıyabilirdi” dedi.
Bu kusur, App Engine, Cloud Functions ve Cloud Composer dahil olmak üzere birden fazla GCP hizmetini etkiledi. Bir saldırgan, bundan yararlanarak, genel PyPI deposuna kötü amaçlı bir paket yükleyebilir ve bu paket daha sonra yükseltilmiş izinlere sahip Cloud Composer örneklerine otomatik olarak yüklenebilir.
Bu, saldırganlara keyfi kod yürütme, hizmet hesabı kimlik bilgilerini çalma ve potansiyel olarak diğer GCP hizmetlerini tehlikeye atmak için yatay hareket etme yeteneği vermiş olabilir.
Güvenlik açığının yaygın yapısı, tek bir tehlikeye maruz kalan paketin Google’ın altyapısındaki milyonlarca sunucuyu ve müşterilerinin ortamlarını etkileyebileceği anlamına geliyordu.
Tenable, “Buluttaki tedarik zinciri saldırıları, şirket içi saldırılardan kat kat daha zararlıdır,” diye belirtti. “Bulut hizmetindeki tek bir kötü amaçlı paket, milyonlarca kullanıcıya dağıtılabilir ve onlara zarar verebilir.”
Google, etkilenen Python paketinin yalnızca özel bir depodan yüklenmesini sağlayarak bu açığı giderdi. Şirket ayrıca paket bütünlüğünü doğrulamak için toplam doğrulama dahil ek güvenlik önlemleri uyguladı.
Bulgulara yanıt olarak Google, daha güvenli “–indeks-url“” argümanı yerine “” argümanı–ekstra-indeks-url” paketleri yüklerken. Şirket ayrıca müşterilere birden fazla paket kaynağını yönetmek için GCP’nin Artifact Registry sanal deposunu kullanmalarını öneriyor.
Keşif, bulut ortamlarını ve yazılım tedarik zincirlerini güvence altına almada devam eden zorlukları vurgulamaktadır. Ayrıca, hem bulut sağlayıcılarının hem de müşterilerin paket yönetimi ve bağımlılık çözümü etrafında sağlam güvenlik uygulamaları uygulaması gerekliliğinin altını çizmektedir.
GCP hizmetlerini kullanan kuruluşların paket kurulum süreçlerini gözden geçirmeleri ve bağımlılık karışıklığı saldırılarını önlemek için uygun güvenlik önlemlerinin yerinde olduğundan emin olmaları önerilir. Bu, mümkün olduğunda sürüm sabitleme, toplam kontrol ve özel depoların kullanılmasını içerir.
CloudImposer güvenlik açığı, modern bulut ortamlarının karmaşık, birbirine bağlı yapısını ve görünüşte küçük yanlış yapılandırmaların kapsamlı güvenlik etkilerine sahip olma potansiyelini hatırlatır. Bulut benimsemesi artmaya devam ettikçe, bu tür tedarik zinciri risklerini ele almak sektör için kritik bir öncelik olmaya devam edecektir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin