Aqua Security’nin son araştırmasına göre, dünyanın dört bir yanındaki kuruluşların kimlik bilgileri, API belirteçleri ve geçiş anahtarları (topluca sır olarak anılır) yıllardır ifşa ediliyor.
Araştırmacılar, toplu olarak 50.000’den fazla kamuya açık veri havuzu içeren GitHub’daki en popüler 100 kuruluşu tarayarak, hassas veri ve yazılımlara erişim sağlayan Cisco ve Mozilla gibi açık kaynaklı kuruluşlar ve kuruluşlara ait aktif sırlar buldu. Açığa çıkan sırlar önemli mali kayıplara, itibar kaybına ve yasal sonuçlara yol açabilir.
Git tabanlı sistemlerdeki hayalet sırlar
Aqua Security’nin araştırma ekibi Aqua Nautilus, GitHub, Gitlab, Bitbucket ve diğerleri de dahil olmak üzere çoğu Kaynak Kodu Yönetim sistemi (SCM) tarafından kullanılan Git tabanlı altyapıda “hayalet sırların” varlığını sürdürebildiğini ortaya çıkardı. Bunun nedeni, silinmiş veya güncellenmiş kod taahhütlerinin bile bu sistemlere kaydedilme şeklinden kaynaklanmaktadır; öyle ki, tek seferlik bir geliştirici hatası bile sırları uzun süreler boyunca bilgili tehdit aktörlerinin eline geçirebilir.
Aqua Nautilus Baş Güvenlik Araştırmacısı Yakir Kadkoda, “Bulgularımız gerçekten endişe verici ve yazılım geliştirmede yer alan herkesin bu sorunun ciddiyetini kavraması çok önemli” diyor.
“Yıllardır geliştiricilere gizli bilgileri kodlarına yerleştirmemeleri konusunda eğitim veriyoruz. Artık, bunu yalnızca bir kez yapmanın bile, silindiğini veya üzerine yazıldığını düşünseler bile, bu sırrı kalıcı olarak açığa çıkardığı ortaya çıktı. Hassas bir veri sızıntısının etkisi, yetkisiz erişime, güvenlik kontrollerinin tehlikeye atılmasına ve ciddi mali veya itibar kaybına neden olabilir. Bu yıkıcı olur,” diye devam etti Kadkoda.
Açık GitHub depolarının taranmasıyla ortaya çıkan sırlar arasında Cisco Meraki ve Mozilla projesinin API tokenleri de vardı. Cisco güvenlik ekibi bulguları doğruladı: “Bazı Fortune 500 şirketleri tarafından kullanılan ayrıcalıklı Meraki API tokenlerini keşfettik. Bu belirteçler, saldırganların ağ cihazlarına, Basit Ağ Yönetimi Protokolü sırlarına, kamera görüntülerine ve daha fazlasına erişmesine olanak tanıyarak, açığa çıkan taraflar için ilk dayanak noktası görevi görebilir.”
Mozilla projesi, “Mozilla FuzzManager için okuma-yazma ayrıcalıklarına sahip bir API belirtecinin” ve “bir çalışanın sql.telemetry.mozilla.org için API belirtecinin sızdırıldığını” kabul etti; her ikisine de “Kritik” puan verildi. FuzzManager yalnızca Firefox ve Tor’daki birçok potansiyel güvenlik açığına erişime izin vermekle kalmıyor, aynı zamanda telemetri Mozilla ürünleri ve işiyle ilgili gizli bilgilere erişim sağlıyor.
Ek olarak, Nautilus, Git commit’inde ifşa edilmiş büyük bir sağlık şirketine ait bir Azure hizmet sorumlusu belirteci buldu. Bu belirteç, dahili Azure Container Registry’ye kimlik bilgilerini elde etmek için yüksek ayrıcalık ve yüksek erişime sahipti ve bu da bir saldırganın kuruluşu ve müşterileri etkileyen bir tedarik zinciri saldırısı gerçekleştirmesine yol açabilirdi.
Her durumda, açığa çıkan sırlar derhal iptal edildi.
Bir kere taahhüt et, sonsuza kadar açığa çıkar
Güvenli kodlamanın en iyi uygulamaları zaten sırların sabit kodlanmamasını gerektirse de birçok geliştirici bu uygulamaya devam ediyor. Bu tür sırların üretime aktarılmamasını sağlamak için sır tarama araçlarına güveniyorlar ve sıklıkla güncellenen kodu bu sırlar olmadan yeniden işliyorlar.
Git tabanlı SCM’lerdeki temel işlemler nedeniyle hayalet sırlar mevcuttur; bu, depolarda üzerine yazılan veya silinen kodun temel sistem içinde erişilebilir kalmasına neden olur. Çoğu sır tarayıcısı yalnızca Git clone komutuyla erişilebilen depolara bakar, bu da sırların neredeyse %18’ini gözden kaçırır.
Aqua Security’nin CTO’su Amir Jerbi, “Bulgular, sırların test amacıyla bile olsa asla kodlanmaması gerektiği ve güvenlik ekiplerinin bunu izleyebilmesi gerektiği yönündeki en iyi uygulamayı bir kez daha güçlendiriyor” dedi. “Yazılım tedarik zinciri hız ve rahatlık için optimize edilmiştir ancak bu, güvenli mühendislik uygulamalarından vazgeçilemez.”