Bulut altyapısı modern teknolojinin omurgasıdır ve güvenliği, geliştiricilerin onu yönetmek için kullandığı araçlara bağlıdır. Ancak yakın zamanda keşfedilen “LeakyCLI” adlı bir güvenlik açığı, bu araçlardaki kritik bir zayıflığı ortaya çıkarıyor ve potansiyel olarak hassas bulut kimlik bilgilerine yetkisiz erişim sağlıyor.
Bu güvenlik açığı, aşağıdaki gibi büyük bulut sağlayıcıları tarafından kullanılan komut satırı arayüzlerini (CLI’ler) etkiler: Amazon Web Hizmetleri (AWS) ve Google Bulut Platformu (GCP). Orca Security’deki güvenlik araştırmacıları, günlüklerdeki parolalar ve erişim anahtarları gibi hassas bilgiler içeren ortam değişkenlerini yanlışlıkla açığa çıkarabilen LeakyCLI’yi tespit etti.
Kusur ve Risk
CLI’ler genellikle güvenli ortamlarda kullanılmak üzere tasarlanmıştır. Ancak Sürekli Entegrasyon ve Sürekli Dağıtım ile entegrasyon (CI/CD) geliştirme süreçlerini otomatikleştiren boru hatları bir güvenlik riski oluşturur. LeakyCLI, CI/CD işlem hatları içindeki gizli etiketleme mekanizmalarını atlayarak, potansiyel olarak hassas kimlik bilgilerini bunları içermemesi gereken günlüklere yazdırır.
Bir Orca tavsiyesi, “CLI komutlarının varsayılan olarak güvenli bir ortamda çalıştığı varsayılır” diye açıklıyor. “Ancak CI/CD hatlarıyla birleştiğinde güvenlik tehdidi oluşturabilirler.” Bu güvenlik açığı, sosyal mühendislik taktiklerini kullanan saldırganlar için birincil hedef oluşturmaktadır.
Deja Vu: XZ Utils Saldırısının Yankıları
LeakyCLI güvenlik açığı bir bakıma bir güvenlik açığına benziyor. açık kaynak projesi XZ Utils ile ilgili son olay, popüler bir veri sıkıştırma aracı. Bu durumda, kötü niyetli bir aktör dalkavukluk, uzmanlık iddiaları ve sonuçta kötü niyetli kod yerleştirme yoluyla bakımcının güvenini kazandı. LeakyCLI, kimlik bilgilerini açığa çıkararak, projeleri tehlikeye atmak için sosyal mühendislikten yararlanabilecek saldırganlar için onları daha da değerli hale getiriyor.
Bulutun Güvenliğini Sağlama: Geliştiriciler için Öneriler
Güvenlik araştırmacıları LeakyCLI ile ilişkili riskleri azaltmak için çeşitli önlemler önermektedir:
- Ortam Değişkenlerindeki Sırları Ortadan Kaldırın: Parolalar ve anahtarlar gibi hassas bilgileri ortam değişkenlerinde depolamak yerine, AWS Secrets Manager veya Google Cloud Key Management Service gibi bulut sağlayıcıları tarafından sunulan özel sır yönetimi hizmetlerinden yararlanın.
- Çok Faktörlü Kimlik Doğrulama (MFA): Bulut kaynaklarına ve proje depolarına erişen tüm kullanıcılar için MFA gibi güçlü kimlik doğrulama protokollerini zorunlu kılın.
- Ayrıntılı Erişim Kontrolü: Kullanıcılara yalnızca projelerdeki belirli görevler için gereken erişim düzeyini verin.
- Kod İncelemeleri: Yanlışlıkla veya kötü niyetli olarak ortaya çıkabilecek güvenlik açıklarını belirlemek ve kaldırmak için sıkı kod inceleme süreçleri uygulayın.
- Topluluk Teyakkuzu: Şüpheli etkinlikleri belirlemek ve potansiyel tehditleri derhal bildirmek için güçlü ve dikkatli bir geliştirme topluluğu oluşturun.
Hem AWS hem de Google Bulut Platformu LeakyCLI konusunda bilgilendirildiklerinde mevcut davranışın beklenen tasarım parametreleri dahilinde olduğunu savunuyorlar. Ancak güvenlik topluluğu, hassas bilgilerin özellikle otomatik CI/CD iş akışlarında günlüklere sızmasını önlemek için bulut sağlayıcılarını CLI’leri içinde ek koruma uygulamayı düşünmeye çağırıyor.
LeakyCLI güvenlik açığı, bulut güvenliğinin nasıl risk altında olabileceğini göstermeye devam ediyor. Bu nedenle geliştiricilerin ve bulut sağlayıcılarının, sağlam güvenlik önlemleri uygulamak ve giderek karmaşıklaşan bu tehditlere karşı tetikte olmak için birlikte çalışmaları gerekiyor.
İLGİLİ KONULAR
- Cado’nun Bulutu, SSH’nin En Çok Hedeflenen Hizmet Olmayı Sürdürdüğünü Söyledi
- Çinli APT, Kamboçya’da Casusluk Yapmak İçin Bulut Hizmeti Gibi Davranıyor
- Devasa Bulut Veritabanı Sızıntısı 380 Milyon Kaydı Ortaya Çıkardı
- Tedarik Zinciri Saldırısı HitTelegram, AWS Alibaba Bulut Kullanıcıları
- Devlet Aktörü Okta İhlalinden Yararlandıktan Sonra Cloudflare Hacklendi