Avlanan laboratuvarlar tarafından şaşırtıcı bir keşif, bulut yerli ekosistemin kalbinde yer alan potansiyel bir güvenlik riskini ortaya çıkardı.
JSON serileştirme ve serileştirmeyi optimize etmek için yaygın olarak kullanılan açık kaynak Go Pack EasyJson’un, Rusya’nın en büyük internet holdinglerinden biri olan VK Grubu (Mail.ru olarak da bilinir) tarafından istihdam edilen Moskova merkezli geliştiriciler tarafından tam olarak kontrol edildiği bulunmuştur.
Rus devlete ait varlıklarla bağları ve Kremlin direktiflerine uyum geçmişi olan VK, EasyJson gibi kritik yazılım bağımlılıklarının bütünlüğü konusunda önemli endişeler doğuruyor.
.png
)
Bu paket, ABD hükümet sistemleri ve Fortune 500 işletmeleri genelinde modern yazılım tedarik zincirlerinin omurgasını oluşturan helm, istio ve kubernetes gibi büyük projeleri desteklemektedir.
Bulut-yerli ekosistemde gizli bir tehdidi ortaya çıkarmak
Platform girişleri aracılığıyla, avlanan laboratuvarlar, yabancı mülkiyetin rutin bir analizi ve bir ABD hükümet müşterisi için yazılım bağımlılıklarında etkisi sırasında EasyJson’u tanımladı.
Soruşturmaları, taahhütlerin% 85’inden fazlasının EasyJson Depo VK’ye bağlı geliştiricilerden kaynaklanmaktadır.
VK’nin devlet gözetimi, sansür ve bilgi savaşındaki belgelenmiş rolü göz önüne alındığında, bu kontrol seviyesi endişe vericidir;
Yaygın kullanımı EasyJson Binlerce açık kaynaklı ve kurumsal proje, herhangi bir uzlaşma bulut yerli manzarada dalgalanabileceği için riski artırır.
Potansiyel bir tedarik zinciri arka kapısı, uzaklaştırma, casusluk ve hatta bir öldürme anahtarı aktivasyonu yoluyla uzaktan kod yürütme (RCE) avlanan laboratuvarların silahlandırılabileceği konusunda sömürü vektörleri arasındadır ve bu görünüşte zararsız kütüphaneyi Pentagon’a tüketiciye katastrofik bir potansiyele sahip dijital bir uyuyan hücreye dönüştürebilir.
Geniş kapsamlı sonuçlarla derinden entegre bir risk
EasyJson’un sahipliğinin teknik sonuçları, derin entegrasyonu ve dağıtılmış sistemlerde güvenilir bir şekilde teminattan dolayı derindir.
Finansal platformlar için gerçek zamanlı veri serileştirmesinde yüksek performanslı JSON kullanımı için kullanılır ve bulut-yerli uygulamaların optimizasyonu, paketin hem görünmez hem de kaldırılması zordur, bu da onu ince sabotaj için ideal bir hedef haline getirir.
Avlanan Laboratuvarların Metodolojisi, 2.500 görüntü ve depo boyunca tersine mühendislik bağımlılık zincirlerini içeriyordu. EasyJsonKritik projelerde ayak izi.
Patlama yarıçapı araçları birbirine bağlılığını görsel olarak eşleştirirken, tehdit arama özellikleri binlerce doğrudan ve dolaylı bağımlılık doğruladı.
Bu kritik bir soruyu gündeme getiriyor: ABD ve AB yaptırımları altındaki devletten etkilenen bir varlık tarafından bu kadar uzun süre incelemeden kaçındı?
Cevap, güvenlik üzerindeki hıza öncelik veren açık kaynaklı yazılımlara sıklıkla sağlanan örtük güven ve veterinerlik eksikliğinde yatmaktadır.
Avlanan laboratuvarların vurguladığı gibi, temel kütüphanelerin arkasındaki kodu kimin yazdığını anlamak artık isteğe bağlı değil, küresel yazılım ekosistemlerini güvence altına almada hayati bir adımdır.
Bulguları, bulut altyapısında derhal durum tespiti ve bağımlılık risklerinin yeniden değerlendirilmesini istemektedir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir