Siber güvenlik araştırmacıları, yüzlerce uygulamada uzaktan kod yürütme özellikleri elde etmek için sızdırılmış Laravel App_Keys’in silahlanmasına izin veren ciddi bir güvenlik sorunu keşfettiler.
Gitguardian, “Laravel’in hassas verileri şifrelemek için gerekli olan App_key, genellikle kamuya açıktır (örn. GitHub’da).” Dedi. Diyerek şöyle devam etti: “Saldırganlar bu anahtara erişirse, sunucuda rasgele kod yürütmek için bir seansizasyon kusurundan yararlanabilirler – veri ve altyapıyı riske atarlar.”
Şirket, Synacktiv ile işbirliği içinde, 2018’den 30 Mayıs 2025’e kadar GitHub’dan 260.000’den fazla APP_KEYS’i çıkarabildiğini ve süreçte 600’den fazla savunmasız Laravel uygulamasını belirleyebildiğini söyledi. GitGuardian, GitHub’da 400 APP_KEYS’in işlevsel olarak doğrulandığı 10.000’den fazla benzersiz APP_KEY gözlemlediğini söyledi.
App_key, Laravel’in kurulumu sırasında oluşturulan rastgele 32 baytlık bir şifreleme anahtarıdır. Uygulamanın .env dosyasında depolanan, verileri şifrelemek ve şifresini çözmek, güvenli, rastgele dizeler oluşturmak, verileri imzalamak ve doğrulamak ve benzersiz kimlik doğrulama jetonları oluşturmak için önemli bir güvenlik bileşeni yapmak için kullanılır.
GitGuardian, Laravel’in mevcut Decrypt () işlevinin mevcut uygulamasının, şifre çözülmüş verileri otomatik olarak sissialize ettiği ve böylece olası uzaktan kod yürütülmesi için kapıyı açtığı bir güvenlik sorunu getirdiğini belirtti.
Güvenlik araştırmacısı Guillaume Valadon, “Özellikle Laravel uygulamalarında, saldırganlar app_key alırsa ve Decrypt () işlevini kötü niyetli bir yükle çağırabilirse, Laravel web sunucusunda uzaktan kod yürütme sağlayabilirler.” Dedi.
“Bu güvenlik açığı ilk olarak 5.6.30’dan önce Laravel sürümlerini etkileyen CVE-2018-15133 ile belgelenmiştir. Ancak, bu saldırı vektörü, CVE-2024-5555 ile gösterildiği gibi, kurabiye = çerez ayarı kullanarak, kurabiyelerde oturum serileştirmesini açıkça yapılandırdıklarında yeni Laravel sürümlerinde devam eder.”
CVE-2018-15133’ün, yanlış yapılandırılmış .env dosyaları ile Laravel uygulamaları için interneti taradıktan sonra AndroxgH0ST kötü amaçlı yazılımlarla ilişkili tehdit aktörleri tarafından vahşi doğada kullanıldığını belirtmek gerekir.
Daha fazla analiz, App_key maruziyetlerinin% 63’ünün, bulut depolama jetonları, veritabanı kimlik bilgileri ve e-ticaret platformları, müşteri destek araçları ve yapay zeka (AI) hizmetleriyle ilişkili sırlar gibi diğer değerli sırları içeren .env dosyalarından (veya varyantlarından) kaynaklandığını bulmuştur.
Daha da önemlisi, GitHub’a eşzamanlı olarak ortaya çıkmıştır. Bunlardan yaklaşık% 10’unun geçerli olduğu bulunmuştur ve 120 uygulamayı önemsiz uzaktan uzak kod yürütme saldırılarına karşı savunmasız hale getirmiştir.
App_url yapılandırmasının uygulamanın temel URL’sini belirlediği göz önüne alındığında, hem app_url hem de app_key maruziyet, tehdit aktörlerinin uygulamaya doğrudan erişmek, oturum çerezlerini almak ve maruz kalan anahtarı kullanarak şifresini çözmeye çalışabilecekleri güçlü bir saldırı vektörü oluşturur.
Basitçe depolardan sırları ovmak yeterli değildir-özellikle de üçüncü taraf araçlarla klonlanmış veya önbelleğe alındıklarında. Geliştiricilerin ihtiyaç duyduğu şey, CI kütükleri, görüntü yapıları ve konteyner katmanları arasındaki hassas iplerin gelecekteki her yeniden ortaya çıkmasını işaretleyen izleme ile desteklenen net bir dönüş yoludur.
Gitguardian, “Geliştiriciler asla uygun rotasyon olmadan maruz kalan app_keyleri depolardan silmemelidir.” Dedi. “Doğru yanıt şunları içerir: uzlaşılmış App_key’in derhal döndürülmesi, tüm üretim sistemlerinin yeni anahtarla güncellenmesi ve gelecekteki maruziyetleri önlemek için sürekli gizli izlemenin uygulanması.”
Bu tür olaylar, PHPGGC gibi araçların nesne yüklemesi sırasında istenmeyen davranışları tetikleyen gadget zincirleri oluşturmalarına yardımcı olduğu daha geniş bir PHP firalizasyon güvenlik açıkları sınıfı ile de hizalanır. Sızan tuşlarla Laravel ortamlarında kullanıldığında, bu tür araçlar uygulamanın mantığını veya rotalarını ihlal etmeye gerek kalmadan tam RCE elde edebilir.
Açıklama, GitGuardian’ın Dockerhub kayıt defterinde kamuya açık olarak erişilebilen Docker görüntülerinde “şaşırtıcı 100.000 geçerli sır” keşfettiğini açıkladıktan sonra geliyor. Bu, Amazon Web Hizmetleri (AWS), Google Cloud ve GitHub jetonları ile ilişkili sırları içerir.
54 kuruluş ve 3.539 depo kapsayan 80.000’den fazla benzersiz Docker görüntüsünün yeni bir binarly analizi, aynı şekilde jenerik kimlik bilgilerini, HTTP temel yetkilendirme başlığı, Google Cloud API anahtarı, aws erişim tokenleri ve circleci api api tuşlarını kapsayan 644 benzersiz sırları ortaya çıkardı.
Şirket, “Sırlar, kaynak kodu, yapılandırma dosyaları ve hatta büyük ikili dosyalar, mevcut birçok tarayıcının yetersiz kaldığı alanlar dahil olmak üzere çok çeşitli dosya türlerinde görünür.” Dedi. “Dahası, konteyner görüntüleri içindeki tüm GIT depolarının varlığı ciddi ve sıklıkla gözden kaçan bir güvenlik riskini temsil ediyor.”
Ama hepsi bu değil. Kurumsal güdümlü AI uygulamalarında aracı iş akışlarını mümkün kılmak için model bağlam protokolünün (MCP) hızlı bir şekilde benimsenmesi, yepyeni saldırı vektörleri açmıştır-bu, GitHub depoları yayınlanan MCP sunucularından sırların sızmasıdır.
Özellikle, Gitguardian, 202’sinin en az bir sır sızdığını, tüm depoların% 5,2’sini oluşturduğunu tespit etti – şirketin “tüm kamu depolarında gözlemlenen% 4,6 oranından biraz daha yüksek” olduğunu, “MCP sunucularını” yeni gizli sızıntı kaynağı “haline getirdi.
Bu araştırma Laravel’e odaklanırken, aynı kök problem – kamu depolarındaki sırlar – diğer yığınlara başvuruyor. Organizasyonlar, merkezi gizli tarama, laravel spesifik sertleştirme kılavuzlarını ve çerçeveler arasında .env dosyalarını ve kap sırlarını yönetmek için güvenli bir şekilde tasarlanmalıdır.