Geliştiricilere büyük dil modelleri (LLM’ler) tarafından desteklenen uygulamalar oluşturmada yardımcı olmak üzere tasarlanmış açık kaynaklı bir proje olan LangChain, hem Python hem de JavaScript’te kütüphaneler sunar.
LangChain, geliştiricilerin çeşitli uygulamalarda büyük dil modellerini (LLM’ler) kullanmasını kolaylaştıran bir çerçevedir.
Geçtiğimiz günlerde 37 yaşındaki siber güvenlik araştırmacısı Evren, LangChain JS güvenlik açığının tehdit aktörlerinin hassas bilgileri açığa çıkarmasına izin verdiğini tespit etti.
Rastgele Dosya Okuma (AFR) sorunu olarak sınıflandırılan güvenlik açığı, kullanıcı tarafından sağlanan URL’ler kullanılırken hatalı giriş doğrulamasından kaynaklanmaktadır.
Bir saldırgan, Sunucu Tarafı İstek Sahteciliği (SSRF) ile bu kusurdan yararlanarak, sunucudaki yerel dosyalara işaret eden kötü amaçlı URL’ler oluşturabilir ve bu sayede, erişmemeleri gereken hassas bilgilere erişmelerine ve bu bilgileri okumalarına olanak tanıyabilir.
Bu güvenlik açıkları, kurbanların tarayıcılarına kötü amaçlı kod yerleştiren XSS saldırılarına olanak tanıyabilir. Yaygın olarak kullanılan JS kitaplıkları veya güvenlik kusurlarına sahip çerçeveler aynı anda çok sayıda siteyi etkileyebilir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Güvenlik açığını keşfeden güvenlik araştırmacısı, “Bu projenin 11.000’den fazla yıldıza sahip olması ve haftalık 380.000’den fazla indirmeye sahip olması, onun popülerliğini ve yaygın kullanımını gösteriyor” dedi. “LangChain belgelerinde, kişisel görüşüme göre yüksek risk oluşturan bir kullanıcıdan URL alırken ne gibi önlemlerin alınması gerektiğini gösteren herhangi bir yönerge bulamadım.”
Araştırmacı, bir saldırganın bu güvenlik açığından nasıl yararlanabileceğini gösteren bir kavram kanıtı (PoC) kodu sağladı.
Güvenlik açığı, onu “Bilgilendirici” olarak sınıflandıran LangChain ekibine bildirildi. Ekip, LangChain JS’nin arka planda Playwright projesini kullandığını ve bunun güvenli bir şekilde uygulanmasından geliştiricilerin sorumlu olduğunu belirtti.
Ancak araştırmacılar, LangChain belgelerinde, geliştiricilerin kullanıcılardan URL alırken alması gereken önlemler konusunda net yönergelerin bulunmadığını ve bu güvenlik açığının yüksek riskli olduğunu düşünmelerine yol açtığını belirtti.
Tehdit aktörleri bu güvenlik açığını kullanarak sunucudaki dosyalara yetkisiz olarak erişebilir ve bu da hassas verilerin açığa çıkmasına yardımcı olur.
Geliştiricilerin belge analizi, özetleme, konuşma yapay zekası ve kod analizi için Python veya JavaScript’teki Yüksek Lisans’ları kolayca kullanmasına olanak tanır.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- Tüm URL’leri uygun şekilde temizleyip doğrulayacağından katı giriş doğrulaması uygulayın.
- URL alımını yalnızca güvenilir olarak işaretlenen belirli bir alan grubuyla sınırlamak için izin verilen alanlar listesini koruyun.
- file://, ftp:// ve erişilebilir olmaması gereken diğer hassas URL şemalarına erişimi reddettiğinizden ve engellediğinizden emin olun.
- Ağ bölümlemesi bir zorunluluktur çünkü bu, dahili ağ kaynaklarına ve hizmetlerine erişimin sınırlandırılmasına yardımcı olur.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın