Google Cloud Platform (GCP) Composer’ı etkileyen ve artık düzeltilmiş kritik bir güvenlik açığı, bağımlılık karışıklığı adı verilen bir tedarik zinciri saldırı tekniği yoluyla bulut sunucularında uzaktan kod yürütme elde etmek için kullanılmış olabilir.
Güvenlik açığının kod adı şu şekildedir: Bulutimpozörü Tenable Research tarafından.
Güvenlik araştırmacısı Liv Matan, The Hacker News ile paylaştığı raporda, “Bu güvenlik açığı, bir saldırganın Google’ın her Google Cloud Composer boru hattı düzenleme aracına önceden yüklediği dahili bir yazılım bağımlılığını ele geçirmesine olanak tanımış olabilir” dedi.
Güvenlik araştırmacısı Alex Birsan tarafından ilk kez Şubat 2021’de belgelenen bağımlılık karışıklığı (diğer adıyla ikame saldırısı), bir paket yöneticisinin, dahili bir depoda bulunan aynı adlı amaçlanan dosya yerine genel bir depoda bulunan kötü amaçlı bir paketi çekmeye kandırıldığı bir tür yazılım tedarik zinciri ihlalini ifade eder.
Yani bir tehdit aktörü, şirketler tarafından dahili olarak geliştirilen ve daha yüksek sürüm numarasına sahip bir paketle aynı adı taşıyan sahte bir paketi, herkese açık bir paket deposunda yayınlayarak büyük ölçekli bir tedarik zinciri saldırısı düzenleyebilir.
Bu da, paket yöneticisinin kötü amaçlı paketi farkında olmadan özel depo yerine genel depodan indirmesine neden olur; böylece mevcut paket bağımlılığı, sahte eşdeğeriyle değiştirilmiş olur.
Tenable tarafından tanımlanan sorun, kötü amaçlı bir paketin “google-cloud-datacatalog-lineage-producer-client” adıyla Python Paket Endeksi (PyPI) deposuna yüklenmesinin kötüye kullanılabilmesi ve bu paketin daha sonra yükseltilmiş izinlere sahip tüm Composer örneklerine önceden yüklenebilmesi açısından benzerdir.
Cloud Composer söz konusu paketin sürüm-sabitlenmiş olmasını (yani sürüm 0.1.0) gerektirirken, Tenable, “pip install” komutu sırasında “–extra-index-url” argümanının kullanılmasının paketi genel kayıt defterinden getirmeyi önceliklendirdiğini ve böylece bağımlılık karışıklığına kapı açtığını buldu.
Bu ayrıcalıkla donatılan saldırganlar, kod çalıştırabilir, hizmet hesabı kimlik bilgilerini sızdırabilir ve kurbanın ortamında diğer GCP hizmetlerine yatay olarak hareket edebilir.
18 Ocak 2024’te sorumlu bir açıklama yapıldıktan sonra, Google tarafından Mayıs 2024’te paketin yalnızca özel bir depoda yüklenmesi sağlanarak düzeltildi. Ayrıca, bütünlüğünü doğrulamak ve kurcalanmadığını doğrulamak için paketin toplam kontrolünü doğrulama ek önlemi de eklendi.
Python Paketleme Otoritesi’nin (PyPA) en azından Mart 2018’den beri “–extra-index-url” argümanının oluşturduğu risklerin farkında olduğu ve dahili paketin çekilmesi gereken durumlarda kullanıcıları PyPI’yi kullanmamaya çağırdığı söyleniyor.
“Paketlerin ad ve sürüme kadar benzersiz olması beklenir, bu nedenle aynı paket adına ve sürümüne sahip iki tekerlek pip tarafından ayırt edilemez olarak ele alınır,” diye belirtmişti o zamanlar bir PyPA üyesi. “Bu, paket meta verilerinin kasıtlı bir özelliğidir ve değişmesi olası değildir.”
Google, düzeltmesinin bir parçası olarak artık geliştiricilerin “–extra-index-url” argümanı yerine “–index-url” argümanını kullanmalarını ve GCP müşterilerinin birden fazla depoya ihtiyaç duyduklarında Artifact Registry sanal deposunu kullanmalarını öneriyor.
Matan, “‘–index-url’ argümanı, yalnızca bu argüman için belirli bir değer olarak tanımlanmış paketleri kayıt defterinde arayarak bağımlılık karışıklığı saldırılarının riskini azaltır” dedi.