Giriş
Son dönemde tespit edilen bir siber saldırıda, saldırganların büyük bir dil modeli (LLM) kullanarak sistemlere erişim sağladığı gözlemlenmiştir. Bu tür saldırılar, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır ve etkileyici hızlarıyla veri sızıntılarını tetikleyebilir.
Saldırı Nasıl Çalışıyor?
Saldırgan, internete açık olan bir Marimo not defterini CVE-2026-39987 güvenlik açığını kullanarak ele geçirmiştir. İlk olarak, saldırgan iki bulut kimliğini çıkarmış, ardından bu kimlikleri kullanarak AWS Secrets Manager üzerinden bir SSH özel anahtarını elde etmiştir.
Saldırı süreci şöyle gerçekleşmiştir:
- SSH anahtarı alındıktan sonra, saldırgan SSH bastion sunucusuna sekiz kısa paralel SSH oturumu açmıştır.
- Bastion aşamasında, iç PostgreSQL veritabanının şeması ve tam içeriği iki dakika içinde çıkarılmıştır.
- Bu süreçte, LLM ajanı, veri tabanının şemasını bilmeden anlık dump işlemleri gerçekleştirmiştir.
Etkilenen Sistemler
CVE-2026-39987, Marimo’nun 0.20.4 ve altındaki tüm sürümlerini etkileyen kritik bir uzaktan kod yürütme açığıdır. Belirtildiğine göre, bu güvenlik açığı, kimlik doğrulama gerektirmeden sistem komutlarının yürütülmesine izin vermektedir. Sorun, geçen ay yayımlanan 0.23.0 sürümü ile çözülmüştür.
Çözüm ve Korunma
Bu tür tehditlerle başa çıkabilmek için önerilen adımlar şu şekildedir:
- Marimo’nun en son sürümüne güncelleme yapılması (0.23.0 veya üstü).
- Açık bağlantıların bulunduğu ortamların denetlenmesi.
- Kimlik bilgileri, API anahtarları ve SSH anahtarlarının düzenli olarak rotasyon yapılması.
Sonuç olarak, kullanıcıların belirli önlemler alması ve sistemlerini güncel tutması kritik öneme sahiptir. Aksi takdirde, benzer bir saldırı ile karşılaşma riski artacaktır.
