Modern teknolojinin temeli olan açık kaynaklı yazılım topluluğu, sosyal mühendislik saldırıları nedeniyle giderek artan bir tehditle karşı karşıyadır. Açık Kaynak Güvenliği (OpenSSF) ve OpenJS Temelleri, bilinmeyen kötü niyetli aktörlerin OpenJS tarafından barındırılan bir projenin kontrolünü ele geçirmeye çalışmasının ardından açık kaynaklı projelerin sosyal mühendislik tarafından devralınması konusunda uyarılar yayınladı.
Saldırı
Milyarlarca web sitesi tarafından kullanılan popüler JavaScript projelerine ev sahipliği yapan OpenJS Vakfı Çapraz Proje Konseyi, yakın zamanda popüler JavaScript projelerinden birinde kritik güvenlik açıklarını ele almak için herhangi bir ayrıntı olmadan güncellemeler talep eden bir dizi e-posta aldı. Yazarlar, hiçbirinin projeye ayrıcalıklı erişimi olmamasına rağmen OpenJS’in kendilerini yeni bakımcılar olarak atamasını istediler.
OpenSSF’nin blog gönderisine göre iyi haber şu ki, OpenJS Vakfı’nın projeye yetkisiz erişimi önleyen etkili güvenlik önlemleri vardı. Övgüye değer bir proaktiflik sergileyen Vakıf, olayı Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) ve İç Güvenlik Bakanlığı’na bildirdi.
Bu yaklaşım, popüler bir veri sıkıştırma aracı olan XZ Utils projesinde Jia Tan adlı kötü niyetli bir aktörün, bakımcısının güvenini kazanarak bu projeye sızdığı yakın zamanda yaşanan bir olayı andırıyor. Saldırı, uzmanlık iddialarını ve kötü amaçlı kod eklemeyi içeriyordu.
Kısa bir süre sonra, oss-güvenlik posta listesinde xz/liblzma’da, 5.6.0 ve 5.6.1 sürümlerine sahip xz sıkıştırma araçlarını ve kitaplıklarını etkileyen bir arka kapı keşfedildi. Neyse ki, uzlaşma geniş çapta hasar meydana gelmeden önce keşfedildi.
Açık Kaynak Topluluğu için Uyandırma Çağrısı
Açık kaynaklı yazılım, tedarik zincirinin herhangi bir parçası için tehdit oluşturabilir, ancak topluluğun durum tespiti ve gözetimi her zaman hızlı tespit ve çözümü sağlayabilir.
Açık kaynak bakımcıları, Çok Faktörlü Kimlik Doğrulama (MFA) gibi önlemleri uygulayarak, katkıda bulunanlara doğru erişimi vererek, sıkı kod incelemeleri yaparak, güçlü bir topluluk oluşturarak ve istenmeyen yardıma karşı dikkatli davranarak sosyal mühendisliğe karşı dikkatli olmalıdır. Ayrıcalıkların sınırlandırılması ek güvenlik sağlayabilir ve aynı zamanda “kritik” güncellemeler sunan veya erişim talep eden kişilere karşı da dikkatli olunmalıdır.
Açık Kaynak Araçları = Kazançlı Hedef
GitHub platformunda 30 milyondan fazla açık kaynaklı proje barındırılıyor ve bu da bunların bireyler ve işletmeler tarafından yaygın şekilde benimsendiğini gösteriyor. Ancak bu çok büyük sayı aynı zamanda bu projeleri siber suçlular için kazançlı hedefler haline getiriyor.
Örneğin, birkaç ay önce GambleForce adında yeni bir hacker grubunun, hedeflerini başarıyla tehlikeye atmak için açık kaynaklı araçlardan yararlandığı keşfedildi. Bu, Google ve AB’nin (Avrupa Birliği) özellikle Açık Kaynak araçlarına yönelik hata ödül programları gibi girişimleri teşvik etti.
Uzman Görüşü
Açık kaynak güvenlik şirketi Endor Labs’ın baş güvenlik danışmanı ve tedarik zinciri güvenliğine odaklandığı CISA Siber İnovasyon Üyesi Chris Hughes, bu saldırı girişimlerinin şaşırtıcı olmadığını ancak daha büyük OSS güvenlik sorunlarına ilişkin farkındalığı artırdığını söylüyor.
“Bu artan sosyal mühendislik devralma girişimlerini duymak hiç de şaşırtıcı değil ve kötü niyetli aktörlere bu saldırının nasıl gerçekleştirileceği konusunda fikir sağlayan son xz yardımcı programları örneğiyle bunlar artacak, aslında bunların çoğunun zaten yapıldığından şüphelenebiliriz. devam ediyor ve halihazırda başarılı olmuş olabilir ancak henüz açığa çıkarılmamış veya tanımlanmamıştır. ”Chris uyardı.
İLGİLİ KONULAR
- Açık Kaynak Araçlarıyla Ekip Koordinasyonunu Geliştirme
- Yamalı OpenSSH IoT ve Linux Kripto Madenciliği için Kullanılıyor
- Dark Web Pedofilleri CSAM Oluşturmak İçin Açık Kaynak Yapay Zekayı Kullanıyor
- Açık kaynak kitaplıkların kullanılması web uygulamalarını saldırılara karşı savunmasız bıraktı