Bir çalışanın kişisel GitHub deposu, saatli bir bomba gibi hareket edebilir ve aynı zamanda şirketin sırlarının dünyaya ifşa edilmesine de yol açabilir. Aqua Security’deki güvenlik araştırma ekibi Aqua Nautilus’un raporuna göre, başta Microsoft Azure, Tigera ve Red Hat olmak üzere yan projeler için kişisel GitHub depolarını kullanan çalışanlar, farkında olmadan kurumsal sırları ve kimlik bilgilerini tehdit aktörlerine ifşa ediyor.
İster inanın ister inanmayın, GitHub’daki kişisel veri havuzları kurumsal kabuslara dönüşebilir; çünkü çalışanlar bunları şirket güvenlik protokollerini aşarak işle ilgili kodları depolamak veya paylaşmak için kullanabilir.
Bu, BT güvenlik ekipleri için tehlikeli bir kör nokta olan bir “Gölge BT” oluşturur. Gölge BT, çalışanların BT sistemlerini departman onayı veya uygun güvenlik kontrolleri olmadan kullanmasını, özellikle bulut tabanlı geliştirmede genellikle şirket bilgisayarlarına yetkisiz yazılım yüklemesini içerir.
Araştırmacılar, Microsoft’un, dahili Azure projelerine yetkisiz erişime ve potansiyel olarak özel görüntülerin üzerine yazılmasına olanak tanıyan ayrıcalıklı bir Azure Container Registry Token’a maruz kaldığını keşfetti.
Daha ayrıntılı incelemeler, bir Microsoft çalışanının Git’in kimlik bilgilerini bir Azure Container Registry’ye aktardığını ve bunun Azure IoT Edge, Akri ve Apollo gibi Azure projeleri için kritik görüntülere erişime izin verdiğini ortaya çıkardı. Bu ayrıcalıklı erişim, özel görüntülerin indirilip yüklenmesine olanak tanıdı ve potansiyel olarak kötü amaçlı kodların Azure ortamında çalıştırılmasına izin verdi.
Raporun yazarları Yakir KadkodaAssaf Morag, “Bu sorunu Microsoft’a bildirdik, Microsoft da jetonu hemen geçersiz kıldı, çalışanın kaydını sildi ve bu güvenlik olayına önemli bir önem derecesi verdi” dedi.
RedHat ve Tigera’nın kişisel GitHub depolarında da benzer riskler tespit edildi. RedHat çalışanları yanlışlıkla dahili konteyner kayıtları için belirteçleri açığa çıkardı; bu da bilgi sızıntısına ve tedarik zinciri saldırılarına yol açabilir. RedHat, bildirimin ardından tokenları derhal geçersiz kıldı, dahili kimlik bilgilerini inceledi ve ilgili sahiplere bilgi verdi.
Tigera’nın dahili konteyner kaydı (quay.io/tigera) kimlik bilgileri, çeşitli Tigera projelerinden görüntüler içeren başka bir şirketin Git işleminde açığa çıktı. Tigera, bilgilendirildiğinde tokenı geçersiz kıldı ve bunun kapsamlı bir token olduğunu ve Tigera için herhangi bir risk oluşturmadığını doğrulayan bir soruşturma başlattı.
Bununla birlikte, Bulut kimlik bilgileri dijital anahtar görevi görerek hassas verilere ve kaynaklara erişime olanak tanır. GitHub’da açığa çıkarsa internet bağlantısı olan herkes bir kuruluşun Azure veya Red Hat ortamlarına erişim sağlayabilir.
Güvenlik risklerini azaltmak için, açık ortamlar veya sırlar açısından interneti düzenli olarak tarayın, çalışanları kişisel hesaplarını düzenli olarak taramaya teşvik edin, kapsamlı anahtarlarla en az ayrıcalığı uygulayın ve son kullanma tarihleriyle gizli yaşam süresini sınırlandırın.
İLGİLİ KONULAR
- Uyarı: Kötü Amaçlı Yazılımları PoC Olarak Sunan Sahte GitHub Depoları
- GitHub botu 100 saniye içinde 1.200 dolar ETH çaldı
- Güvenliği Tehlikeye Girmiş GitHub Tokenları Yoluyla Veri İhlalini Azaltın
- Tedarik Zinciri Saldırısında Binlerce GitHub Deposu Klonlandı
- GitHub, Görüntü Dosyalarındaki PyPI’ye Kötü Amaçlı Paketler Bırakmak İçin Kötüye Kullanıldı