
Siber güvenlik uzmanları, sofistike tehdit aktörlerinin hassas bulut kaynaklarına yetkisiz erişim elde etmek için sürekli entegrasyon/sürekli dağıtım (CI/CD) boru hatlarını giderek daha fazla hedefledikleri bir eğilim gözlemlediler.
Bu saldırılar, OpenID Connect (OIDC) protokolü uygulamasındaki yanlış yapılandırmalardan yararlanır, bu da saldırganların geleneksel güvenlik kontrollerini atlamasına ve potansiyel olarak bir kuruluşun en değerli varlıklarına erişmesine izin verir.
CI/CD boru hatları, modern yazılım geliştirmenin temel bileşenleri haline gelmiştir, binayı otomatikleştirmiştir, uygulamaların test edilmesi ve dağıtımını kullanmıştır.
Bu sistemler tipik olarak bulut ortamları, kod depoları ve üretim sistemleri dahil olmak üzere çeşitli kaynaklara ayrıcalıklı erişim gerektirir.
Bu yükseltilmiş erişim, onları bir kuruluşun altyapısını tehlikeye atmak isteyen saldırganlar için özellikle çekici hedefler haline getiriyor.
Palo Alto Networks araştırmacıları, kuruluşların CI/CD ortamları için OIDC kimlik doğrulamasını nasıl uyguladığı konusunda birden fazla güvenlik açığı belirlediler.
Analizleri, OIDC’nin CI/CD iş akışlarında hassas kimlik bilgilerinin depolanması ihtiyacını ortadan kaldırmak için tasarlanmış olsa da, uygulanmasında yanlış yapılandırmaların yanlışlıkla yeni saldırı vektörleri oluşturabileceğini ortaya koydu.
OIDC, kaynak erişimi için kullanıcı kimliklerini doğrulayan kimlik jetonları ekleyerek OAuth protokolünü genişletir.
CI/CD ortamlarında, protokol CI koşucuları ve korunan kaynaklar arasında şifresiz etkileşim sağlar, CI/CD satıcısı kimlik sağlayıcısı (IDP) olarak görev yapar.
Bu model, uzun ömürlü kimlik bilgilerinin depolanmasıyla ilişkili riskleri ortadan kaldırır, ancak dikkatli bir yapılandırma gerektiren yeni güvenlik hususları sunar.
Ünite 42 araştırma ekibine göre, saldırganlar özellikle OIDC uygulamalarının yetkilendirme aşamasını hedefliyor.
CI/CD satıcıları otomatik olarak tüm koşuculara kimlik belirteçleri sağladığından, güvenlik sınırı büyük ölçüde düzgün yapılandırılmış kimlik federasyonu politikalarına dayanır.
.webp)
Bu politikalardaki yanlış yapılandırmalar, saldırganların korunan kaynaklara erişme gereksinimlerini karşılayan geçerli jetonlar almasına izin verebilir.
Zehirli Boru Hattı Yürütülmesi ile OIDC yanlış yapılandırmalarını kullanmak
Belirlenen en endişe verici saldırı vektörü, zehirli boru hattı uygulamasını (KKD) LAX OIDC Federasyon politikalarıyla birleştirir.
Bu sofistike teknik, saldırganların aşırı izin veren federasyon gereksinimlerini karşılayan OIDC jetonları elde etmek için CI/CD boru hatlarındaki uzaktan kod yürütme (RCE) güvenlik açıklarından yararlanarak ayrıcalıkları artırmasına olanak tanır.
Tipik bir saldırı senaryosunda, bir düşman asgari izinleri ancak savunmasız boru hatlarına sahip bir depoyu hedefleyebilir.
Bu ilk güvenlik açığından yararlanarak, yeterince özel federasyon politikaları tarafından korunan daha hassas kaynaklara erişmek için kullanılabilecek OIDC jetonları elde ederler.
Örneğin, deseni kullanarak bir kuruluş içindeki herhangi bir depoya erişim sağlayan bir politika repo:my_org/*
Önemli bir güvenlik riski yaratır.
Saldırı akışı tipik olarak aşağıdaki gibi ilerler:-
1. Exploit PPE vulnerability in a low-security repository
2. Execute arbitrary code in the compromised CI/CD environment
3. Obtain ID token from the exploited machine
4. Use token to access protected cloud resources
.webp)
Kimlik Federasyonu politikalarındaki gevşek iddialar, genellikle birden fazla depo veya kullanıcı tarafından karşılanabilecek iddiaları doğrulayan aşırı izin veren koşulları içerir.
Bu, OIDC’nin uygulanmasının güvenlik avantajlarını etkili bir şekilde ortadan kaldırır.
Kuruluşlar, kuruluş çapında kalıplar yerine depoya özgü federasyon kurallarını uygulayarak, iddiaları (özellikle kullanıcı kontrol edilebilir olanları) kesinlikle doğrulayarak, OIDC yapılandırmalarını düzenli olarak denetleyerek ve KKD güvenlik açıklarını önlemek için CI güvenlik en iyi uygulamalarını takip ederek kendilerini koruyabilir.
.webp)
Palo Alto Networks, bu tür OIDC yanlış yakınlaştırmalarını tespit etmek için altyapısını kod (IAC) politikaları olarak güncelledi, potansiyel olarak sömürülebilir yapılandırmalar belirlendiğinde kullanıcıları uyardı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free