Popüler Python paket deposu PyPI’nin AWS anahtarlarını ve kötü amaçlı yazılımı barındırdığı tespit edildi (yeni sekmede açılır)sayısız Python geliştiricisini ciddi tedarik zinciri saldırıları riskine sokar.
bu Sonuçlar AWS API anahtarları için PyPI’deki tüm yeni paketleri Rust kullanarak tarayan bir araç geliştiren yazılım geliştiricisi Tom Forbes’in izniyle.
Araç, bazıları Amazon, Intel, Stanford, Portland ve Louisiana Üniversitesi, Avustralya Hükümeti, General Atomics füzyon departmanı, Terradata, Delta Lake ve Top Glove’dan olmak üzere 57 olumlu sonuçla geri döndü.
Zararın en aza indirilmesi
Forbes, “Bu rapor, bulunan anahtarların yanı sıra anahtarlara genel bir bağlantı ve sürümle ilgili diğer meta verileri içeriyor” dedi. “Bu anahtarlar halka açık bir GitHub deposuna kaydedildiğinden, Github’ın Gizli Tarama hizmeti devreye giriyor ve anahtarların sızdırıldığını AWS’ye bildiriyor.”
Sonuç olarak AWS, geliştiriciyi sızıntı konusunda bilgilendirir ve zararları en aza indirmek için sızıntıyı karantinaya alır. Sorun şu ki, bunun gibi bir aracın inşa edilmesi nispeten kolaydı ve Forbes niyetlerinde iyi huylu olabilirken diğerleri olmayabilir. Ile konuşmak Kayıtfarklı anahtarların farklı seviyelerde ağrıya neden olabileceğini söyledi:
Forbes, “Anahtarın kendisine verilen tam izinlere bağlıdır” dedi. Bulduğum anahtar InfoSys tarafından sızdırılmış [in November] ‘tam yönetici erişimine’ sahipti, yani her şeyi yapabilir ve PyPI’de bulduğum diğer anahtarlar da her şeyi yapmasına izin verilen ‘kök anahtarlardı’. Bu anahtarlara sahip olan bir saldırgan, bağlı olduğu AWS hesabına tam erişime sahip olur.”
GitHub’ın otomatik anahtar taramasının ileriye doğru olumlu bir adım olduğunu, ancak sorunu bütünüyle çözmek için yeterli olmadığını da sözlerine ekledi:
“GitHub, tedarik zinciri güvenliğini de çok önemsiyor, ancak kendilerine bir çukur kazdılar: Sırları tarama biçimleri, GitHub’da anahtarların nasıl oluşturulduğuna ilişkin dahili bilgileri ifşa edebilecek satıcılarla çok sayıda işbirliğini içeriyor” dedi. “Bu, GitHub’ın sırları taramak için kullandığı normal ifadelerin herkese açık hale getirilemeyeceği ve hassas olduğu anlamına gelir; bu da, PyPI gibi üçüncü tarafların, PyPI’da yayınlanan her kod parçasını GitHub’a göndermeden bu harika altyapıyı etkili bir şekilde kullanamayacağı anlamına gelir. “
Platformun kullanıcılarını korumak için daha fazlasını yapabileceğini söyleyerek PyPI’yi suçlarken, geliştiricilerin çözümlerinin güvenliği için biraz sorumluluk almaları gerektiğini de söyledi. Dahası, AWS’nin de çözümün bir parçası olması gerektiğini ekledi: “AWS’nin burada da paylaşacak bazı suçları var: IAM’de hata ayıklamak ve doğru yapmak herkesin bildiği gibi zor, bu da anahtarlar üzerinde aşırı geniş izinlerin verilmesine yol açıyor.”
PyPI yoluyla tedarik zinciri saldırılarına karşı korunmak için Forbes, kuruluşların güvenlik politikalarını yeniden gözden geçirmeleri gerektiğini söylüyor.
Üzerinden: Kayıt (yeni sekmede açılır)
