Google’ın Gerrit kod-işleme platformunda “Gerriscary” olarak adlandırılan kritik bir güvenlik açığı keşfedildi ve hackerlar tarafından yetkisiz kod gönderme riski olan kromyumlar, krom, dart ve bazel de dahil olmak üzere en az 18 büyük Google projesini koydu.
Tenlenebilir bulut araştırmaları ile ortaya çıkarılan bu kusur, açık kaynaklı geliştirme ortamlarındaki yanlış yapılandırılmış izinlerin tehlikelerini ve büyük ölçekli tedarik zinciri saldırıları potansiyelini vurgulamaktadır.
Gerriscary Güvenlik Açığı
Google tarafından geliştirilen Gerrit, kod inceleme ve işbirliği için yaygın olarak kullanılan bir web tabanlı sistemdir.
.png
)
Geliştiricilerin, proje depolarına birleştirilmeden önce kod değişikliklerini önermelerine, tartışmasına ve onaylamasına olanak tanır.
Bununla birlikte, Tenable araştırmacılar, Gerrit’in inceleme sürecindeki varsayılan izinler ve mantık kusurlarının bir kombinasyonunun, kayıtlı herhangi bir kullanıcının tespit edilmeden güvenilir Google projelerine kötü amaçlı kod enjekte etmesine izin verebileceğini buldular.
Güvenlik açığı iki ana Gerrit mekanizmasına odaklanır: izinler ve etiketler. İzinler, kullanıcıların hangi işlemleri gerçekleştirebileceğini tanımlarken, kod değişikliklerinin birleştirilmeye uygun olduğu etiketler (veya “gereksinimler gönder”) kullanılır.
Birçok Google projesinde, tüm kayıtlı kullanıcılara varsayılan “AddPatchSet” izni verildi ve orijinal yazar olmasalar bile mevcut kod değişikliklerinin yeni sürümlerini yüklemelerine izin verildi.
Gerçek tehlike, Gerrit’in “kopyalama koşullarını” ele alma biçiminde yanlış yapılandırmadan ortaya çıktı. Etkilenen projelerde, “kod gözden geçirme” ve Google’ın özel “taahhüt-queue” gibi etiket onayları, temel kod değişse bile yeni yama setlerinde devam edecekti.
Bu, bir kod değişikliğinin tam olarak onaylanabileceği ve birleştirilmeye hazır olabileceği ve bir saldırganın onay durumunu sıfırlamadan yeni bir yama seti olarak kötü amaçlı kod enjekte edebileceği anlamına geliyordu.
Saldırganlar, zaten gerekli tüm onayları alan kod değişikliklerini izleyerek işlemi otomatikleştirebilir, ardından Google’ın otomatik botları değişikliği depoya birleştirmeden hemen önce kötü amaçlı bir yama seti yüklemek için yarışabilir.
Bazı durumlarda, bu yarış penceresi beş dakika kadar sürdü ve sömürü için geniş bir fırsat sağladı.
Etkilenen projeler ve acil eylemler
Güvenlik açığı, kromyumlar (CVE-2025-1568), krom, dart ve Bazel dahil olmak üzere en az 18 büyük Google projesini etkiledi. Güvenlik açığı, iyileştirilmeden önce bu projelere yetkisiz kodun sunulmasına izin verdi.
| Proje adı | Tanım | Dikkate değer CVE (ler) |
| Kromlar | Açık kaynaklı işletim sistemi Chromeos cihazlarına güç | CVE-2025-1568 |
| Krom | Açık Kaynak Tarayıcı Projesi (Chrome’un Temeli) | |
| Dart | Müşteri Geliştirme için Programlama Dili | |
| Basel | Büyük kod tabanları için oluşturun ve test aracı | |
| Üçüncü taraf krom paketleri | Toplumun bakımlı krom bileşenleri | |
| … | (Ek A’ya göre ek projeler) |
Google o zamandan beri izinleri sıkılaştırarak ve etiket kopya koşullarını düzelterek kendi projelerinde kusuru düzeltmiş olsa da, Gerrit kullanan ve konfigürasyonlarını gözden geçirmeyen üçüncü taraf kuruluşlar için risk kalır.
Güvenlik uzmanları, Gerrit’i kullanan herhangi bir kuruluşun izinlerini derhal denetmesi gerektiği konusunda uyarıyor ve onayların kod değişiklikleri arasında uygunsuz bir şekilde tutulmamasını sağlamak için etiket kopya koşullarını gözden geçirmesi gerektiği konusunda uyarıyor.
Gerriscary olay, açık kaynaklı gelişmede titiz erişim kontrolü ve konfigürasyon yönetiminin önemini vurgulamaktadır.
Google gibi endüstri liderleri, sofistike tedarik zinciri saldırılarının kapısını açan ince yanlış yapılandırmalara kurban olabilir. Yazılım tedarik zincirleri daha karmaşık hale geldikçe, sağlam güvenlik uygulamalarına ve sürekli izleme ihtiyacı her zamankinden daha acil.
Kuruluşlardan Google’ın deneyiminden öğrenmeleri ve benzer güvenlik açıklarına karşı kendi geliştirme boru hatlarını proaktif olarak korumaları istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin