İmleç AI kod düzenleyicisinde bir uzaktan kod yürütme güvenlik açığı keşfedilmiştir ve kötü amaçlı bir kod deposunun otomatik olarak açıldıktan sonra bir kullanıcının makinesinde kod çalıştırmasını sağlar.
Oasis Security’deki araştırma ekibi, popüler editörde varsayılan bir yapılandırma ayarından yararlanarak tipik kullanıcı onay istemlerini atlayan kusuru ortaya çıkardı.
Oasis Security’ye göre, güvenlik açığının çekirdeği, varsayılan olarak devre dışı bırakılan “Workspace Trust” özelliği ile imleç nakliyesinde yatmaktadır. VS kodunda bulunan bu güvenlik ayarı, güvenilmeyen kodun otomatik olarak yürütülmesini önlemek için tasarlanmıştır.
Bu özellik kapalı kaldığında, bir saldırgan özel olarak yapılandırılmış bir kötü amaçlı kod deposu oluşturabilir .vscode/tasks.json dosya. Ayarlayarak runOptions.runOn Parametre “Forceropen” a, bu görev dosyasındaki herhangi bir komut, bir geliştiricinin proje klasörünü imlecte açtığı anda yürütür.
İmleç AI Kodu Düzenleyicisi RCE Güvenlik Açığı
Bu, görünüşte zararsız bir eylemi, herhangi bir uyarı veya güven istemeden kullanıcının güvenlik bağlamında sessiz kod yürütülmesine dönüştürür. Bir saldırgan, hassas bilgileri çalmak, yerel dosyaları değiştirmek veya bir komut ve kontrol sunucusuna bağlantı kurmak için bundan yararlanabilir.
Bu güvenlik açığı önemli bir risk oluşturmaktadır, çünkü geliştirici makineleri genellikle yüksek ayrıcalıklı kimlik bilgilerinin hazine gezileridir. Bir geliştiricinin dizüstü bilgisayarından ödün vermek, bir saldırgana bulut API anahtarlarına, kişisel erişim belirteçlerine (PAT) ve aktif SaaS oturumlarına derhal erişim sağlayabilir.
Tehlike bireysel makinenin ötesine uzanır; İlk tabanla, bir saldırgan bağlı CI/CD boru hatlarına ve bulut altyapısına dönebilir.
Bu yanal hareket, özellikle bir kuruluşun ortamında geniş ve güçlü izinlere sahip olan hizmet hesapları gibi insan olmayan kimliklerin uzlaşmasına yol açabileceğinden, özellikle ilgilidir. Tek bir bubi sıkışmış depo, yaygın bir güvenlik olayı başlatabilir.
Varsayılan yapılandırmayı çalıştıran imleç kullanıcıları bu güvenlik açığından doğrudan etkilenir. Buna karşılık, Workspace Trust etkin olan standart Visual Studio kodu kullanıcıları, kullanıcı proje klasörüne açıkça güven verene kadar özellik otomatik görev yürütülmesini engellediğinden daha düşük bir risk altındadır.
Açıklamaya yanıt olarak, imleci, kullanıcıların çalışma alanı güvenini manuel olarak etkinleştirebileceğini ve güncellenmiş güvenlik rehberliğinin yakında yayınlanacağını belirtti.
Oasis Security, geliştirme ekipleri için derhal sertleştirme önerileri sağlamıştır. Kullanıcılar İmleçte Çalışma Alanı Güvenini Etkinleştirmeli, Başlangıç İstemini gerektirmeli ve ayarlamayı düşünmelidir. task.allowAutomaticTasks “KAPALI” tercih.
Ayrıca, potansiyel yürütmeyi önlemek için bilinmeyen tüm depoları tek kullanımlık bir kap veya sanal makine gibi güvenli, izole edilmiş bir ortamda açmanız önerilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.