Güvenlik araştırmacıları son zamanlarda Node.js’nin sürekli entegrasyon altyapısında, saldırganların dahili Jenkins ajanlarında kötü amaçlı kod yürütmesine izin veren ve potansiyel olarak yıkıcı bir tedarik zinciri saldırısına yol açmasına izin veren kritik bir güvenlik açığını ortaya çıkardılar.
Birden fazla DevOps platformu, tek bir GitHub deposu için boru hatlarını yürütmek için birlikte çalıştığında, şu soruyu akla getirir: Bu platformlar geçiniyor mu? Node.js durumunda, cevap “her zaman değil” ile ilgili bir şeydi.
Güvenlik firması Praetorian, 30 Nisan 2025’te Node.js CI/CD boru hattı mimarisinde ciddi güvenlik boşlukları keşfettiklerini açıkladı. Güvenlik açığı, saldırganların güvenlik kontrollerini atlamasına ve dünyanın en popüler JavaScript çalışma zamanı ortamını oluşturan ve test eden dahili Jenkins ajanlarında keyfi kod yürütmesine izin verdi.
.png
)
Node.JS’nin teknik yönlendirme komitesinin açıklamalarında, “Temel sorun, bir CI derlemesi başlatma ve Jenkins işi kodu kontrol ettiği an arasındaki kullanım zamanı (Toctou) güvenlik açığından kaynaklanıyor” dedi.
Bu güvenlik açığı, uygulamaları için Node.js’ye güvenen milyonlarca alt kullanıcıyı potansiyel olarak etkiledi.
Saldırı, Node.js’nin GitHub Eylemleri iş akışlarının Jenkins boru hatlarıyla nasıl iletişim kurduğunda temel bir kusurdan yararlandı. Bir saldırgan, meşru bir çekme talebi gönderebilir, bakıcının onayını bekleyebilir ve request-ci Etiket, ardından yeni kötü amaçlı kodlara, etiket olayından önce gelen sahte git taahhüt zaman damgası ile bastırın.
Bu zaman damgası sahteciliği, saldırganların düğümleri atlamasına izin verdi checkCommitsAfterReviewOrLabel() İşlev, etkin bir şekilde gözden geçirilmemiş, potansiyel olarak kötü niyetli kod Jenkins boru hatlarına.
Yürütüldükten sonra, bu kod node.js Jenkins test altyapısına kalıcılık yükleyebilir, potansiyel olarak Jenkins kimlik bilgilerini tehlikeye atabilir ve iç ağlar aracılığıyla yanal hareketi kolaylaştırabilir.
Daha da önemlisi, Node.js’nin iç soruşturması, saldırganların doğrudan ana dala kötü amaçlı kod enjekte etmesine izin verebilecek ve potansiyel olarak tüm Node.js kullanıcılarını etkileyen bir tedarik zinciri saldırısı sağlayabilecek benzer bir güvenlik açığının var olduğunu ortaya koydu.
Node.js güvenlik ekibi, Praetorian’ın 21 Mart raporuna hızla yanıt verdi. Jenkins CI koşusuna erişimi hemen kısıtladılar ve 24 uzlaştırılmış makineyi tanımladılar ve yeniden inşa ettiler.
1 Nisan’a kadar, her iki güvenlik açıkını da iyileştirmek için tarih doğrulamasını onaylanmış SHA kontrolleriyle değiştirerek önemli güvenlik iyileştirmeleri uyguladılar.
Node.js ekibi, “Node.js ekibi,“ Güvenlik açıklarını tespit etmek ve düzeltmek için sık kullanılanlara öncelik veren 140 Jenkins işinde kapsamlı denetimler gerçekleştirildi ”dedi. Ekip ayrıca, gelişmiş güvenlik önlemleriyle yamalanana kadar savunmasız GitHub iş akışlarını geçici olarak devre dışı bıraktı.
Bu olay, özellikle birden fazla platforma yayıldıklarında, modern CI/CD boru hatlarının artan karmaşıklığını vurgulamaktadır. Kuruluşlar yazılım teslimi için otomatik boru hatlarına daha fazla güvendikçe, bu sistemler arasındaki güvenlik sınırları kritik saldırı vektörleri haline gelir.
Praetorian raporlarında, “Birkaç DevOps platformu arasında ilişkileri yönetmek ve güvence altına almak, özellikle son kullanıcının sorumluluğu olduğunda zorlayıcıdır” dedi. Üç günlük araştırmaları, iyi yönetilen sistemlerin bile platformların kesiştiği güvenlik boşluklarına sahip olabileceğini doğruladı.
Bu olay, çok platformlu CI/CD boru hatları kullanan kuruluşlar için sistemler arasındaki sınırlara odaklanan titiz güvenlik testinin öneminin altını çizmektedir.
Node.js’nin gösterdiği gibi, güvenlik raporlarına hızla yanıt vermek ve sağlam doğrulama mekanizmalarının uygulanması, yazılım tedarik zincirine güveni korumak için çok önemlidir.
Node.js ekibi, olayı şeffaf bir şekilde ele almaları ve kapsamlı iyileştirme çabaları için övgü kazandı ve dünya çapında açık kaynaklı projeler için bir örnek oluşturan güvenlik taahhüdünü gösterdi.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.