Olağandışı şüpheli: git depoları

   Temmuz 14, 2025  Posted in TheHackerNews


14 Tem, 2025Hacker HaberleriSır Yönetimi / SaaS Güvenliği

Kimlik avı ve fidye yazılımı manşetlere hakim olurken, çoğu işletmede başka bir kritik risk sessizce devam eder: maruz kalan Git depoları hassas verileri sızdıran. Çekirdek sistemlere sessizce gölge erişimini yaratan bir risk

Git, milyonlarca depo barındıran ve dünya çapında binlerce kuruluşa hizmet veren modern yazılım geliştirmenin belkemiğidir. Yine de, günlük nakliye kodu koşuşturmasının ortasında, geliştiriciler yanlışlıkla yapılandırma dosyalarındaki ve kod dosyalarındaki API anahtarlarını, jetonları veya şifreleri geride bırakabilir ve saldırganları Krallık’a etkili bir şekilde teslim edebilirler.

Bu sadece kötü hijyen ile ilgili değil; Sistemik ve büyüyen bir tedarik zinciri riskidir. Siber tehditler daha karmaşık hale geldikçe, uyumluluk gereksinimleri de öyle. NIS2, SOC2 ve ISO 27001 gibi güvenlik çerçeveleri artık yazılım dağıtım boru hatlarının sertleştirildiğine ve üçüncü taraf riskinin kontrol edildiğine dair kanıt talep ediyor. Mesaj açık: Git depolarınızı güvence altına almak artık isteğe bağlı değil, bu gerekli.

Aşağıda, kamu ve özel kod depolarındaki maruz kalan kimlik bilgilerinin ve sırların risk profiline, bu saldırı vektörünün geçmişte nasıl kullanıldığına ve maruz kalmanızı en aza indirmek için neler yapabileceğinize bakıyoruz.

Git repo tehdit manzarası

Git depolarını çevreleyen tehdit manzarası, bir dizi nedenden kaynaklanan hızla genişliyor:

  • DevOps uygulamalarının artan karmaşıklığı
  • GitHub gibi genel sürüm kontrol platformlarına yaygın bir güven
  • İnsan hatası ve gerektiren tüm yanlış yapılandırmalar: kötü uygulanan erişim kontrollerinden unutulmuş test ortamlarına kadar üretime itildi

Kalkınma hızı arttıkça, saldırganların maruz kalan kod depolarını silahlandırma fırsatı da artmaktadır. Github tek başına 2024’te 39 milyondan fazla sızdırılmış sır bildirdi – bir önceki yıla göre% 67 artış. Bunlar arasında bulut kimlik bilgileri, API jetonları ve SSH tuşları vardı. Bu maruziyetlerin çoğu aşağıdakilerden kaynaklanmaktadır:

  • Kişisel Geliştirici Hesapları
  • Terk edilmiş veya çatallı projeler
  • Yanlış yapılandırılmış veya denetlenmemiş depolar

Saldırganlar için bunlar sadece hatalar değil, giriş noktaları. Maruz kalan GIT depoları, dahili sistemlere ve geliştirici ortamlarına doğrudan, düşük sürtünmeli bir yol sunar. Küçük bir gözetim olarak başlayan şey, genellikle herhangi bir uyarıyı tetiklemeden tam bir uzlaşmaya dönüşebilir.

Saldırganlar maruz kalan Git depolarından nasıl yararlanır?

Kamu araçları ve tarayıcılar, maruz kalan GIT depolarından gelen sırları hasat etmeyi önemsiz hale getirir ve saldırganlar, maruz kalan koddan ödün verilen altyapıya nasıl hızlı bir şekilde döneceklerini bilirler.

Bir deponun içine girdikten sonra saldırganlar şunu arar:

  • Sırlar ve kimlik bilgileri: API tuşları, kimlik doğrulama jetonları ve şifreler. Genellikle yapılandırma dosyaları veya geçmişte işgal içinde düz bir şekilde gizlenir.
  • Altyapı intel: Ana bilgisayar adları, IP’ler, bağlantı noktaları veya mimari diyagramlar gibi dahili sistemler hakkında ayrıntılar.
  • İş Mantığı: Kimlik doğrulama, oturum işleme veya API erişiminde güvenlik açıklarını ortaya çıkarabilen kaynak kodu.

Bu içgörüler şunlar için silahlandırılır:

  • İlk Erişim: Saldırganlar doğrulamak için geçerli kimlik bilgilerini kullanır:
    • Bulut Ortamları – Örneğin, AWS IAM Rolleri Maruz kalan Erişim Anahtarları, Azure Hizmet Prensipleri aracılığıyla Roller
    • Veritabanları – Örn.
    • SaaS Platformları – Yapılandırma dosyalarında bulunan veya geçmişte bulunan API jetonlarından yararlanma
  • Yanal hareket: İçeri girdikten sonra, saldırganlar daha da ileriye doğru döner:
    • Maruz kalan Openapi/Swagger özelliklerini kullanarak dahili API’lerin numaralandırılması
    • GitHub Eylemlerinden Sızdırılmış Jetonlar Kullanarak CI/CD boru hatlarına erişme, GITLAB CI veya Jenkins
    • Dahili hizmetler veya bulut hesapları arasında hareket etmek için yanlış yapılandırılmış izinleri kullanmak
  • Kalıcılık ve pessiltrasyon: Zaman içinde erişimi korumak ve verileri elde etmek için:
    • Gömülü kalmak için yeni IAM kullanıcıları veya SSH anahtarları oluşturun
    • Normal iş yükleriyle karışmak için kötü niyetli lambda işlevlerini veya kaplarını dağıtın
    • S3 kovalarından, Azure Blob depolama alanından veya CloudWatch ve Log Analytics gibi günlük platformlarından verileri dışarı atın

Tek bir sızdırılmış AWS anahtarı tüm bulut ayak izini açığa çıkarabilir. Unutulmuş bir .git/config dosyası veya bayat taahhüdü hala canlı kimlik bilgileri içerebilir.

Bu maruziyetler genellikle geleneksel çevre savunmalarını tamamen atlar. Saldırganların maruz kalan git depolarından → geliştirici dizüstü bilgisayarlara → dahili ağlara döndüğünü gördük. Bu tehdit teorik değil, Pentera kullanarak canlı üretim ortamlarında onayladığımız bir öldürme zinciri.

Önerilen azaltma stratejileri

Maruz kalma riskinin azaltılması temel bilgilerle başlar. Hiçbir kontrol GIT tabanlı saldırıları ortadan kaldıramazken, aşağıdaki uygulamalar sızıntı yapma olasılığını azaltmaya ve etkiyi yaptıklarında sınırlandırmaya yardımcı olur.

1. Sır Yönetimi

  • Hashicorp Vault (açık kaynak), AWS Sırlar Yöneticisi veya Azure Key Vault gibi özel Gizli Yönetim Çözümlerini kullanarak kod tabanınızın dışındaki sırları saklayın. Bu araçlar güvenli depolama, ince taneli erişim kontrolü ve denetim günlüğü sağlar.
  • Kaynak dosyalarda veya yapılandırma dosyalarındaki sabit kodlama sırlarından kaçının. Bunun yerine, çevre değişkenleri veya güvenli API’ler aracılığıyla çalışma zamanında sırlar enjekte edin.
  • Maruz kalma penceresini azaltmak için gizli dönüşü otomatikleştirin.

2. Kod hijyeni

  • .Env, config.yaml veya ccrementials.json gibi hassas bilgiler içerebilecek dosyaları hariç tutmak için katı .gitignore politikalarını zorlayın.
  • GitLeaks, Talisman ve Git-Secrets gibi tarama araçlarını, işlenmeden önce sırları yakalamak için geliştirici iş akışlarına ve CI/CD boru hatlarına entegre edin.

3. Erişim Denetimleri

  • Tüm Git depolarında en az ayrıcalık ilkesini uygulamak. Geliştiriciler, CI/CD araçları ve üçüncü taraf entegrasyonlar yalnızca ihtiyaç duydukları erişime sahip olmalıdır – artık yok.
  • Mümkün olan her yerde kısa ömürlü jetonlar veya zamana bağlı kimlik bilgileri kullanın.
  • Git platformlarında çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) uygulayın.
  • Aşırı ayrıcalıkları veya şüpheli davranışları tanımlamak için kullanıcı ve makine erişim günlüklerini düzenli olarak denetleyin.

Saldırganlar yapmadan önce maruz kalan git verilerini bulun

Maruz kalan GIT depoları bir avantaj riski değil, özellikle hızlı hareket eden DevOps ortamlarında bir ana saldırı vektörüdür. Gizli tarayıcılar ve hijyen uygulamaları esas olmakla birlikte, genellikle tam resmi sağlamakta yetersiz kalırlar. Saldırganlar sadece kodunuzu okumakla kalmıyor; Doğrudan altyapınıza girmek için bir harita olarak kullanıyorlar.

Yine de, en iyi uygulamaları kullanan takımlar bile kritik bir soruya kör bırakılır: Bir saldırgan bu pozlamayı girmek için kullanabilir mi? Depolarınızı güvence altına almak sadece statik kontrollerden daha fazlasını gerektirir. Sürekli doğrulama, proaktif iyileştirme ve bir düşmanın zihniyetini gerektirir. Uyumluluk zorunlulukları sıkılaştıkça ve saldırı yüzeyleri genişledikçe, kuruluşlar kod maruziyetini güvenlik stratejilerinin temel bir parçası olarak değil, sonradan düşünmeli olarak ele almalıdır.

Ekibinizin bunu nasıl yapabileceği hakkında daha fazla bilgi edinmek için web seminerine katılın Sana gitmeye dışarı çıkıyorlar 23 Temmuz 2025’te

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link