Oxeye’nin bulut güvenlik platformu, hiçbir manuel giriş veya müdahale olmaksızın tamamen otonom olarak bir sır yönetimi sisteminde yüksek önem dereceli sıfır gün güvenlik açığı keşfetti.
Şirkete göre, bulut tabanlı uygulama güvenlik platformu, API şifreleme anahtarlarına, parolalarına ve sertifikalarına erişimi kontrol etmek için kullanılan popüler bir kimlik tabanlı sırlar ve şifreleme yönetim sistemi olan HashiCorp Vault Project’te sıfır gün buldu.
Kusur, tehdit aktörlerinin uzaktan kod yürütme (RCE) yeteneklerine izin verebilecek bir SQL enjeksiyon güvenlik açığıydı. Artık CVE-2023-0620 olarak izleniyor. Kusur o zamandan beri ele alındı ve bir yama yayınlandı.
Yamalar yayınlandı
Oxeye, Uygulama Güvenliği Platformunun sıfır günü standart bir dağıtım taramasının parçası olarak tanımladığını ve tehdit aktörlerinin bunu hassas verilere erişmek, bunlarla oynamak ve hatta hedef uç noktalarda kötü amaçlı uygulamalar çalıştırmak için kullanmış olabileceği sonucuna vardığını söyledi. (yeni sekmede açılır).
“Modern yazılım geliştirmede mikro hizmetlere yönelik eğilim göz önüne alındığında, bunun gibi yapılandırma tabanlı saldırılar önemli bir tehdit oluşturuyor ve daha yaygın hale gelmesi bekleniyor.
Araştırmacılar, “Konfigürasyonların merkezi doğası onları tek bir hakikat noktası haline getirdiği için, tehdit aktörleri için kazançlı bir hedef. Bu nedenle, kuruluşlar, modern uygulamalardaki konfigürasyon dosyalarının ve diğer merkezi bileşenlerin güvenliğine öncelik vermelidir.”
Hatayı HashiCorp’a ifşa ettikten sonra şirket 1.13.1, 1.12.5 ve 1.11.9 yamalarını yayınladı.
Oxeye CTO’su ve Kurucu Ortağı Ron Vider, “Kritik araçlara erişimi kısıtlamanın ve SQL enjeksiyon saldırılarını önlemek için yeterli girdi doğrulaması uygulamanın önemi, HashiCorp’un Vault projesindeki bu güvenlik açığı tarafından vurgulanıyor” dedi. yamalar ve güvenlik politikalarının güncel olması, başarılı saldırıların önlenmesini sağlayacaktır.”