Siber güvenlik başlatma tehdidinin güvenlik araştırmacısı ve kurucusu Leon Juranić, NASA tarafından şirket içinde geliştirilen ve kullanılan açık kaynaklı yazılımlardaki güvenlik açıkları, sistemlerini ihlal etmek için kullanılabilir.
Güvenlik açıkları
AppSec kimlik bilgileri kurucu ve önde gelen defensecod da yer alan Juranić, yabancı NASA: 2009’da NASA’nın Ortak Veri Formatı (CDF) yazılım kütüphanesinde geliştiriciler tarafından sabitlenen bir dizi ciddi güvenlik açıkını keşfetti ve bildirdi.
NASA tarafından geliştirilen açık kaynaklı yazılımın son araştırması, 4 saatlik manuel kod analizi ile sınırlıydı, ancak yine de bir dizi güvenlik açıkını açıkladı.
NASA’nın Hızlı Görüntü İşleme (Quip) için taşınabilir ortamında yığın tabanlı bir tampon taşma güvenlik açıkları keşfetti, daha sonra ajans tarafından kullanılan benzer araçlarda daha fazlasını aramaya karar verdi.
“[The] Bunun arkasındaki ana neden ve akıl yürütme, farklı NASA’nın GitHub depolarındaki kodunun her yerinde NASA’nın belirli dosya formatlarının işlenmesi ve kötü niyetli olarak oluşturulmuş veri dosyalarının bir e -posta veya web üzerinden kurbana kolayca kaydırılabilmesidir ”diye açıkladı.
Hızlı bir şekilde, doğal olarak güvensiz bir işlevin kullanımından kaynaklanan diğer tampon taşmalarını buldu:
- OpenVSP (Açık Araç Eskiz Yastığı), Mühendislik Analizi Amaçları için 3D uçak modelleri oluşturmak için bir araç
- Rheas (Bölgesel Hidrolojik Extremes Değerlendirme Sistemi) Yazılımı
- Ominas (OpenSource Çok Enstrüman Analiz Yazılımı)
- Rafine, 2D ve 3D Mesh Adaptasyon Aracı
- Sayısal analiz kütüphaneleri ve üzerlerinde inşa edilen yardımcı program uygulamaları içeren CFD Yardımcı Program Yazılım Kütüphanesi (aka CFDTools) ve
- . bıçak kütüphane
Ayrıca, NASA tarafından geliştirilen çeşitli web uygulamalarında yansıyan bir çapraz site komut dosyası (XSS) güvenlik açığı ve sert kodlanmış gizli değerler keşfetse de, çeşitli dosya işleme yazılımı uygulamalarında bulunan bellek bozulması kusurları, uzaktan kod yürütülmesine izin verebilecekleri kadar endişe verici.
“Keşfedilen basit vanilya yığın tabanlı tampon taşmalarının kullanılabileceğini kanıtlamaya zahmet etmedim, ancak neden sömürülemeyeceklerinin engellerini bulamadım – savunmasız kod belirli dosya formatlarının ayrıştırılması sırasında uzaktan ulaşılabilirdi” dedi.
Devlet destekli tehdit aktörleri, ABD Uzay Ajansı’ndaki bilgisayar sistemlerini ve savunmasız yazılımı kullanan diğer kurumlarda (devlet tarafından işletilen ve değil) bu kusurlardan yararlanabileceğini de sözlerine ekledi.
Hedef çalışanların özel olarak hazırlanmış dosyaları indirmeye ve açmaya kandırılmasına neden olan başarılı bir saldırı, bu özel engel her gün saldırganların üstesinden gelir. “Ve AV, EDR, IPS ve ID’ler gibi standart savunma sistemleri genellikle bu nitelikteki tehditlerden (yani, kötü niyetli dosyalardaki sıfır gün istismarları) almaz ve korumaz” dedi.
Juranić, bu güvenlik açıklarının neden daha önce yakalanmadığını ve iyileştirilmediğini tahmin etmeyi reddetti, ancak NASA’nın yazılım güvenlik süreçlerinde ve NASA’nın SRA (Yazılım Sürümü Otoritesi) politikasında olması gerektiği kadar kapsamlı olmayan bir yer olduğunu açıkça söylüyor.
“Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC) için ortak güvenlik uygulamaları, özellikle devlet kurumları ve yüklenicileri için yazılım geliştirmenin her alanında, bu günlerde bir zorunluluktur” dedi.
Güvenlik Açığı Raporlama Sorunları
Juranić, “Kısa bir süre içinde keşfettiğim güvenlik açıklarının sayısı ve ciddiyeti, koddaki ‘şüpheli’ şeyler için greppping yaparak oldukça şaşırdım – özellikle bu yazılım projelerinin bazıları NASA’da uzay misyonlarının veya veri işleme işleminin bir parçası olarak kullanıldığından” dedi.
Bazı hatalar o kadar karmaşıktır ki, en popüler, internet destekli yazılımlarda bile onlarca yıl boyunca keşfedilmemiş/açıklanmazlar, ancak bunlar “düşük asılı meyve” çeşididir.
“NASA’nın resmi Github hesabındaki herkes için mevcut olduğu için, gezegende NASA’nın şirket içi gelişmiş ve kullanılmış yazılımında güvenlik açıklarını keşfetmek isteyen tek kişi ben olsam çok şaşırırdım.”
Bulgularını paylaşmak için farklı e -posta adresleri aracılığıyla NASA’ya bir düzine kez ulaştı, ancak geri bildirim almadı. NASA’nın Güvenlik Operasyon Merkezi’ne (SOC) bir telefon görüşmesi, ajansın resmi politikasının onlara kuruluş dışındaki bireyler tarafından yapılan güvenlik açığı raporlarına cevap vermemesini söyledi.
NASA’nın resmi yazılımı GitHub hesabı (burada ve burada referans verildiği gibi) görünüşe göre NASA’nın Bug Bounty programı altında değil, ayrıca kamu böcek porsor platformları aracılığıyla ortaya çıkarılmamış güvenlik sorunlarını bildirmeyi karmaşık hale getirdi.
Yorum için NASA’ya ulaştık ve bu makaleyi onlardan duyduğumuzda güncelleyeceğiz.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!