Google Cloud Platform (GCP) Composer’ı etkileyen ve artık düzeltilmiş kritik bir güvenlik açığı, bağımlılık karışıklığı adı verilen bir tedarik zinciri saldırı tekniği yoluyla bulut sunucularında uzaktan kod yürütme elde etmek için kullanılmış olabilir.
Güvenlik açığının kod adı şu şekildedir: Bulutimpozörü Tenable Research tarafından.
Güvenlik araştırmacısı Liv Matan, yaptığı açıklamada, “Bu güvenlik açığı, bir saldırganın Google’ın her Google Cloud Composer boru hattı düzenleme aracına önceden yüklediği dahili bir yazılım bağımlılığını ele geçirmesine olanak tanımış olabilir” dedi. rapor The Hacker News ile paylaşıldı.
Güvenlik araştırmacısı Alex Birsan tarafından ilk kez Şubat 2021’de belgelenen bağımlılık karışıklığı (diğer adıyla ikame saldırısı), bir paket yöneticisinin, dahili bir depoda bulunan aynı adlı amaçlanan dosya yerine genel bir depoda bulunan kötü amaçlı bir paketi çekmeye kandırıldığı bir tür yazılım tedarik zinciri ihlalini ifade eder.
Yani bir tehdit aktörü, büyük ölçekli bir tedarik zinciri saldırısı düzenleyebilir. yayıncılık Şirketler tarafından dahili olarak geliştirilen ve daha yüksek sürüm numarasına sahip bir paketle aynı adı taşıyan sahte bir paketin, kamuya açık bir paket deposuna gönderilmesi.
Bu da paket yöneticisinin bilmeden indirmek Kötü amaçlı paketi özel depodan değil, genel depodan alarak, mevcut paket bağımlılığını sahte eşdeğeriyle etkili bir şekilde değiştirir.
Sorun tanımlanmış Tenable tarafından geliştirilen bir diğer yöntem ise, “google-cloud-datacatalog-lineage-producer-client” adıyla Python Paket Endeksi (PyPI) deposuna kötü amaçlı bir paket yüklemek için kötüye kullanılabilmesi ve bu paketin daha sonra yükseltilmiş izinlere sahip tüm Composer örneklerine önceden yüklenebilmesidir.
Cloud Composer söz konusu paketin sürüm-sabitlenmiş olmasını (yani sürüm 0.1.0) gerektirirken, Tenable, “pip install” komutu sırasında “–extra-index-url” argümanının kullanılmasının paketi genel kayıt defterinden getirmeyi önceliklendirdiğini ve böylece bağımlılık karışıklığına kapı açtığını buldu.
Bu ayrıcalıkla donatılan saldırganlar, kod çalıştırabilir, hizmet hesabı kimlik bilgilerini sızdırabilir ve kurbanın ortamında diğer GCP hizmetlerine yatay olarak hareket edebilir.
18 Ocak 2024’te sorumlu bir açıklama yapıldıktan sonra, Google tarafından Mayıs 2024’te paketin yalnızca özel bir depoda yüklenmesi sağlanarak düzeltildi. Ayrıca, bütünlüğünü doğrulamak ve kurcalanmadığını doğrulamak için paketin toplam kontrolünü doğrulama ek önlemi de eklendi.
Python Paketleme Otoritesi’nin (PyPA) en azından Mart 2018’den beri “–extra-index-url” argümanının oluşturduğu risklerin farkında olduğu ve dahili paketin çekilmesi gereken durumlarda kullanıcıları PyPI’yi kullanmamaya çağırdığı söyleniyor.
“Paketlerin ad ve sürüme kadar benzersiz olması beklenir, bu nedenle aynı paket adına ve sürümüne sahip iki tekerlek pip tarafından ayırt edilemez olarak değerlendirilir,” bir PyPA üyesi not edildi o zaman. “Bu, paket meta verilerinin kasıtlı bir özelliğidir ve değişmesi olası değildir.”
Google, düzeltmesinin bir parçası olarak artık geliştiricilerin “–extra-index-url” argümanı yerine “–index-url” argümanını kullanmalarını ve GCP müşterilerinin birden fazla depoya ihtiyaç duyduklarında Artifact Registry sanal deposunu kullanmalarını öneriyor.
Matan, “‘–index-url’ argümanı, yalnızca bu argüman için belirli bir değer olarak tanımlanmış paketleri kayıt defterinde arayarak bağımlılık karışıklığı saldırılarının riskini azaltır” dedi.