Giriş
Microsoft, 5 Haziran tarihinde GitHub üzerindeki Azure, microsoft, Azure-Samples ve MicrosoftDocs organizasyonlarına ait 73 depo (repository) kaldırdı. Bu durum, potansiyel kötü niyetli içeriklerin dağıtıldığı endişesiyle gerçekleşti ve sürekli entegrasyon süreçlerini aksattı.
Saldırı Nasıl Çalışıyor?
Kesinti, Miasma/Shai-Hulud tedarik zinciri kampanyası kapsamında bir güvenlik açığının kötüye kullanılmasıyla meydana geldi. Araştırmacılar, saldırganların Microsoft’un Azure organizasyonundaki ‘durabletask’ deposunu Mayıs ayında ele geçirdiklerini doğruladı. Bu olay, tamamlanmamış bir temizliğin, tehdidin yeniden ortaya çıkmasına yol açtığını gösteriyor.
Etkilenen Sistemler
Microsoft’un Azure ortamında ve GitHub’daki ‘durabletask’ deposunda, Miasma saldırısının hedef aldığı birçok popüler araç etkilenmiştir:
- Azure/functions-action: Geliştiriciler tarafından Azure Fonksiyonları’nın dağıtımı için kullanılan bir GitHub Eylemi.
- Red Hat’in npm paketleri: Saldırgan, Red Hat çalışanlarının GitHub hesaplarını ele geçirerek içerik enjeksiyonu yaptı.
- CVE-XXXX-YYYY: Miasma kampanyasının etkilediği güvenlik açıkları.
Çözüm ve Korunma
Microsoft, durumu araştırırken bazı depoları geçici olarak kaldırdı. Tüm depolar geri yüklendi ancak etkilenen kullanıcılar için bilgilendirme yapıldı. Geliştiricilerin, aşağıdaki adımları izlemeleri önerilmektedir:
- Projelerinin bağımlılıklarını kilitlemeli.
- Yeni paket güncellemeleri almak için çok gün hızlı gecikme eklemeli.
- Yeni yapıların izole ortamlarda test edilmesi gerekmektedir.
Sonuç
Geliştiriciler, güvenlik risklerini en aza indirmek için proje yapılandırmalarını gözden geçirmeli ve gerektiğinde güncellemeler yapmalıdır. Özellikle, GitHub üzerindeki bu olayın ardından, güvenlik önlemlerini artırmaları kritik öneme sahiptir. Herhangi bir tedarik zinciri saldırısından etkilenmemek adına, port kapatma ve izleme gibi önlemler alınmalıdır.
