Google, saldırganların tek bir kötü amaçlı kod paketi dağıtarak milyonlarca müşteri bulut sunucusuna tedarik zinciri saldırısı gerçekleştirmek için kullanabileceği Google Cloud Platform’daki (GCP) bir açığı kapattı.
Tenable’dan araştırmacılar şunu keşfetti: uzaktan kod yürütme (RCE) güvenlik açığıSaldırganların GCP hizmetlerini etkileyen dahili bir yazılım bağımlılığını ele geçirmek için kullanabilecekleri “CloudImposer” adlı bir analizde ortaya çıktı 16 Eylül’de yayınlandı.
Özellikle, kusur GCP’nin yazılım kanallarını düzenlemeye yönelik Cloud Composer hizmetinde bulundu, ancak aynı zamanda Google hizmetleri App Engine ve Cloud Function’ı da etkiledi. Kusur, bir senaryo oluşturdu bağımlılık karışıklığıTenable’a göre, birkaç yıl önce keşfedilen ancak bulut platformu sağlayıcıları tarafından bile yanlış anlaşılan bir teknik.
Bir bağımlılık karışıklığı saldırısı, ilk keşfedilen Güvenlik araştırmacısı Alex Birsan tarafından 2021 yılında başlatılan, bir saldırganın bir kötü amaçlı yazılım paketiona meşru bir dahili paketle aynı adı verir ve onu herkese açık bir depoda yayınlar.
“Bir geliştiricinin sistemi veya derleme süreci, amaçlanan dahili paket yerine yanlışlıkla kötü amaçlı paketi çektiğinde, saldırgan sisteme erişim kazanır,” diye açıkladı Tenable kıdemli güvenlik araştırmacısı Liv Matan analizde. “Bu saldırı, geliştiricilerin paket yönetim sistemlerine duyduğu güveni suistimal eder ve yetkisiz kod yürütmeye veya veri ihlallerine yol açabilir.”
“Bu konuda ve bunu nasıl önleyeceğimiz konusunda şaşırtıcı ve endişe verici bir farkındalık eksikliği var” diye ekledi. [dependency confusion]Google gibi önde gelen teknoloji satıcıları arasında bile. Ve ne yazık ki, bu tür bağımlılık, “şirket içi olanlardan kat kat daha zararlı” olan bulutta tedarik zinciri saldırıları yürütmek için kullanılabilir.
“Örneğin, bir kötü amaçlı paket bulut hizmeti “Milyonlarca kullanıcıya dağıtılabilir ve onlara zarar verebilir” diye gözlemledi Matan. Özünde, GCP’deki tek bir hatalı komut, potansiyel olarak sayısız bulut dağıtımında bir dalgalanma etkisi yaratabilir ve saldırganlara müşterilerin kurumsal bulut ortamlarına erişim sağlayabilirdi.
Tenable’ın bulguları ilk olarak Matan’ın Ağustos ayında Black Hat USA’da düzenlediği “GCP Jenga Kulesi: Tek Bir Paketle (ve Daha Fazlasıyla) Milyonlarca Google Sunucusunu Hacklemek” başlıklı oturumda sunuldu. Bu oturumda bir Dark Reading uzmanı şunları söyledi: konferansta kaçırılmaması gerekenlerAncak analizinin tamamını bu hafta Tenable’ın blogunda yayınladı.
Riskli Belgeleme Hatalara Yol Açar
Tenable’a göre, kusurun ilk işareti, bulut dağıtımlarında bağımlılık karışıklığı olasılığını ortaya koyan GCP ve Python Yazılım Vakfı ile ilgili Google dokümanlarıydı. Araştırmacılar daha fazla araştırma yaptı ve Google’ın kendisinin de aynı riskli uygulama tavsiyesini GCP’ye uyguladığını ve bu kusuru ortaya çıkardığını buldu.
Google, özellikle GCP servisleri App Engine, Cloud Function ve Cloud Composer servislerinde özel Python paketleri kullanmak isteyen kullanıcılara “–extra-index-url” argümanını kullanmalarını tavsiye etti.
“Bu argüman şunu arıyor: kamu sicili (PyPI) Matan, “Uygulamanın veya kullanıcının özel bağımlılığı yüklemeyi amaçladığı belirtilen özel kayıt defterine ek olarak,” diye açıkladı. “Bu davranış, saldırganların bir bağımlılık karışıklığı saldırısı gerçekleştirmesinin önünü açıyor.”
Araştırmacılar, Google’ın riskli rehberliğini izleyen “çok sayıda GCP müşterisi” olduğu sonucuna vardılar ve ayrıca Google’ın kendi iç hizmetlerine özel paketler yüklerken kendi tavsiyesine uyduğunu keşfettiler.
Matan, Tenable araştırmacılarının Google’ın kamu kayıt defterinde bulunmayan özel bir kod paketini yüklemek için riskli –extra-index-url argümanını kullandığını ve “bunun saldırganların kamu kayıt defterine kötü amaçlı bir paket yüklemesine ve veri hattını ele geçirmesine olanak tanıdığını” yazdığını belirtti.
Google Düzeltmesi ve Diğer Azaltma Yöntemleri
Araştırmacılar, Tenable’a göre hem belgeleri hem de CloudImposer RCE güvenlik açığını Google’a sorumlu bir şekilde ifşa ettiler ve Google da derhal yanıt verdi ve harekete geçti. Google, özel bir kayıt defterinden özel bir paket yüklerken –extra-index-url argümanını kullanan Google Cloud Composer’daki güvenlik açığını düzeltti.
Matan, şirketin ayrıca güvenlik açığı bulunan paket örneklerinin kontrol toplamlarını incelediğini ve Tenable’a, Google’ın bildiği kadarıyla CloudImposer’ın istismar edildiğine dair hiçbir kanıt bulunmadığını bildirdiğini belirtti.
Google ayrıca, Tenable’ın geliştirdiği istismar kodunun Google’ın dahili sunucularında çalıştığını kabul etse de, entegrasyon testlerini geçemeyeceği için müşterilerin ortamlarında çalışmasının muhtemel olmadığını belirtti.
Ayrıca şirket riskli dokümantasyonu düzeltti ve artık GCP müşterilerine –extra-index-url argümanı yerine –index-url argümanını kullanmalarını öneriyor. Teknoloji devi de Tenable’ın önerisini benimseyerek GCP müşterilerine Python paket yöneticisi arama sırasını güvenli bir şekilde kontrol etmek için GCP Artifact Registry’nin sanal deposunu kullanmalarını öneriyor, diye belirtti Matan.
GCP müşterileri, ihlalleri önlemek için paket yükleme süreçlerinde ortamlarını analiz etmeli, özellikle –extra-index-url bağımsız değişkeninin kullanımını aramalıdır Python’da bağımlılık karışıklığı saldırılarına karşı savunmasız olmadıklarından emin olmak için.
Matan, “Hem bulut sağlayıcıları hem de bulut müşterileri tarafından sorumlu güvenlik uygulamalarının bir araya getirilmesi, bulut tedarik zinciri saldırılarıyla ilişkili birçok riski azaltabilir” sonucuna vardı.