Araştırmacılar, JSON serileştirme süreçlerinin merkezinde yaygın olarak benimsenen açık kaynaklı bir Go paketi olan EasyJson’un, Rusya’nın en büyük internet konglomeratlarından biri olan VK Group için çalışan Moskova’da çalışan geliştiricilerin tam kontrolü altında olduğunu ortaya çıkardıkça, kritik bir güvenlik vahisi siber güvenlik topluluğu aracılığıyla şok dalgaları gönderdi.
Kütüphane, Kubernetes, Helm ve Istio da dahil olmak üzere çok sayıda yüksek profilli bulut yerli teknolojisi için temel bir bileşen olarak hizmet vermektedir ve yabancı kontrolünü dünya çapında kuruluşlar için önemli bir endişe kaynağı haline getirmektedir.
Keşif, ABD hükümet ağları, Fortune 500 işletmeleri ve Cornerstone Cloud Native Computing Foundation projeleri arasında kritik altyapı sistemlerine derinlemesine yerleştirildiğinden, yazılım tedarik zinciri güvenliği hakkında endişe verici sorular ortaya koyuyor.
.png
)
JSON kodlama ve kod çözmeyi optimize etmede uzmanlaşmış işlevselliği, yüksek performanslı bilgi işlem ortamlarında, özellikle finansal platformlar ve analiz sistemleri için hızlı veri serileştirilmesi gerektirenlerde önemli bir bağımlılık haline getirmiştir.
Avlanan Laboratuvarlar araştırmacıları, ABD’li bir devlet müşterisi için güvenlik analizi yaparken bu mülkiyet modelini belirlediler.
Araştırmaları, EasyJson deposuna yapılan tüm taahhütlerin% 85’inden fazlasının, şu anda Rus devlet güvenlik hizmetleriyle bağlantıları için inceleme altında olan ve çeşitli uluslararası yaptırımlara tabi olan VK Group’a bağlı Moskova merkezli geliştiricilerden geldiğini ortaya koydu.
VK’nin Kremlin direktifleriyle işbirliği yapma ve kullanıcı verilerini Rus yetkililerle paylaşma geçmişi göz önüne alındığında durum özellikle rahatsız edici.
Mail.ru olarak da bilinen VK Grubu, Gazprom Medyası aracılığıyla Rus devlete ait varlıklar tarafından kontrol edilmektedir ve birden fazla hükümet kaynak ve düzenleyici başvurulara göre, şu anda hem ABD hem de AB yaptırımlarına tabi olan liderlik üyeleri vardır.
Güvenlik uzmanları, kritik altyapı kodu üzerindeki bu dış kontrol seviyesinin, özellikle mevcut jeopolitik manzara ve Rusya’nın Batı hedeflerine karşı belgelenmiş siber operasyon tarihi göz önüne alındığında, önemli bir ulusal güvenlik kırılganlığı sunduğu konusunda uyarıyor.
Kütüphanenin çekirdek sistemlere derin entegrasyonu, bağımlı hizmetlerde önemli bir bozulma olmadan hızlı bir şekilde kaldırılmayı veya değiştirmeyi neredeyse imkansız hale getirir.
Potansiyel sömürü vektörleri
EasyJson’un kontrollü konumlandırılması, güvenlik profesyonellerinin dikkate alması gereken sömürü senaryoları ile ilgili birkaç tane sunar.
Go dilinde uygulanan bir serileştirici olarak EasyJson, uygulama mimarilerinde özellikle hassas bir konuma sahiptir.
Mevcut kötü niyetli faaliyetlerin kanıtı olmasa da, kütüphanenin stratejik yerleştirilmesi benzersiz güvenlik zorlukları yaratır.
// Example of how easyjson generates custom marshalers
// that have deep access to data structures
func (j *SensitiveData) MarshalJSON() ([]byte, error) {
// Custom generated code that processes all data fields
// with potential for subtle manipulation
return json.Marshal(&struct{
UserID string `json:"user_id"`
AuthToken string `json:"auth_token"`
PrivateData string `json:"private_data"`
}{
UserID: j.UserID,
AuthToken: j.AuthToken,
PrivateData: j.PrivateData,
})
}Serileştirme ve serileştirme işlemleri, genellikle kimlik bilgileri, kimlik doğrulama jetonları ve tescilli bilgiler içeren hassas veri yapılarını işler.
Meydan okumalı bir JSON ayrıştırıcısı, normal uygulama işlevselliğini korurken belirli veri alanlarını seçici olarak dışarı atabilir ve algılamayı son derece zorlaştırabilir.
EasyJson, bayt seviyesinde veri marshalingini işleyen GO kodu oluşturduğundan, ince manipülasyonlar güvenlik uyarılarını tetiklemeden bilgi sızıntısı kanallarını tanıtabilir.
Hunted Labs’taki güvenlik araştırmacıları, riskin mutlaka mevcut kod bütünlüğü ile ilgili olmadığını, yaptırım altındaki kuruluşlara bağlı geliştiriciler tarafından sürdürülen sürekli güvenilir erişimle ilgili olduğunu vurgulamaktadır.
Önerilen azaltma stratejileri, kütüphanenin çatallanması ve kendi kendine bakımını, farklı bakım topluluklarına sahip alternatif JSON serileştirme araçlarına geçiş veya şeffaf yönetişim mekanizmalarıyla toplum liderliğindeki bir yedek üzerinde işbirliği yapmayı içerir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.