Siber güvenlik araştırmacıları, HashiCorp’un Terraform ve Açık Politika Aracısı (OPA) gibi kod olarak altyapı (IaC) ve kod olarak politika (PaC) araçlarına karşı, ihlali gerçekleştirmek için özel, alana özgü dillerden (DSL’ler) yararlanan iki yeni saldırı tekniğini açıkladı. bulut platformları ve verileri sızdırma.
Tenable kıdemli güvenlik araştırmacısı Shelly Raban geçen hafta yayınlanan bir teknik raporda, “Bunlar sınırlı yeteneklere sahip sertleştirilmiş diller olduğundan, standart programlama dillerinden daha güvenli olmaları gerekiyor ve gerçekten de öyleler” dedi. “Ancak daha güvenli olmak kurşun geçirmez anlamına gelmez.”
OPA, kuruluşların mikro hizmetler, CI/CD işlem hatları ve Kubernetes gibi bulutta yerel ortamlarda politikaları uygulamalarına olanak tanıyan popüler, açık kaynaklı bir politika motorudur. Politikalar, Rego adı verilen yerel bir sorgulama dili kullanılarak tanımlanır ve daha sonra bir karara varmak için OPA tarafından değerlendirilir.
Tenable tarafından geliştirilen saldırı yöntemi, tedarik zincirini hedef alıyor; burada bir saldırgan, bir OPA sunucusuna kötü amaçlı bir Rego politikası eklemek için tehlikeye atılmış bir erişim anahtarı aracılığıyla yetkisiz erişim elde ediyor ve bu daha sonra politika karar aşamasında kimlik bilgilerinin sızması gibi kötü niyetli eylemlere izin vermek için kullanılıyor. “http.send” olarak bilinen yerleşik bir işlev.
Siber güvenlik firması, OPA dağıtımının http.send kullanımını kısıtladığı durumlarda bile, DNS tünelleme olarak adlandırılan bir teknik aracılığıyla DNS aramalarını kullanarak verileri kaçırmak için “net.lookup_ip_addr” adlı başka bir işlevi kullanmanın mümkün olduğunu buldu.
Raban, “Dolayısıyla net.lookup_ip_addr işlevi, kısıtlamayı düşünebileceğiniz veya en azından politikalarda arayabileceğiniz başka bir işlevdir, çünkü aynı zamanda OPA dağıtımınızdan veri sızması riskini de beraberinde getirir” dedi.
OPA’ya benzeyen Terraform, kod tabanlı tanımlar aracılığıyla bulut kaynaklarını kurma, dağıtma ve yönetme sürecini basitleştirmeyi amaçlamaktadır. Bu yapılandırmalar, HashiCorp Yapılandırma Dili (HCL) adı verilen başka bir bildirime dayalı DSL kullanılarak ayarlanabilir.
Bir saldırgan, CI/CD işlemi sırasında kötü amaçlı bir veri kaynağı içeren gözden geçirilmemiş değişiklikleri yürütmek için genellikle GitHub “pull_request” iş akışlarının bir parçası olarak tetiklenen “terraform planı” komutundan yararlanarak açık kaynaklı IaC platformunu hedefleyebilir.
Tenable, “Bu, halka açık bir depodaki harici bir saldırganın veya özel bir depodaki kötü niyetli bir içeriden (veya dayanağı olan harici bir saldırganın), kötü niyetli hedefleri için bir çekme isteğinden yararlanabileceği için bir risk teşkil ediyor” dedi. “Veri kaynakları ‘terraform planı’ sırasında çalışıyor ve bu da saldırganların giriş noktasını önemli ölçüde azaltıyor.”
Bu veri kaynakları, sahte bir harici veri kaynağı, bir Terraform modülü veya bir DNS veri kaynağı olabilir ve yalnızca güvenilir kaynaklardan gelen üçüncü taraf bileşenlerin kullanılmasını gerektirir. Bu tür riskleri azaltmaya yönelik diğer önerilerden bazıları şunlardır:
- Parçalı bir rol tabanlı erişim denetimi (RBAC) uygulayın ve en az ayrıcalık ilkesini izleyin
- İzleme ve analiz için uygulama düzeyinde ve bulut düzeyinde günlük kaydını ayarlayın
- Uygulamaların ve temeldeki makinelerin ağ ve veri erişimini sınırlandırın
- CI/CD işlem hatlarında incelenmemiş ve potansiyel olarak kötü amaçlı kodun otomatik olarak yürütülmesini önleyin
Ayrıca kuruluşlar, dağıtımdan önce yanlış yapılandırmaları ve uyumluluk sorunlarını önceden tespit etmek için Terrascan ve Checkov gibi IaC tarama araçlarını ve çözümlerini kullanabilir.