Siber güvenlik araştırmacıları, HashiCorp’un Terraform’u ve Styra’nın Açık Politika Aracısı (OPA) gibi kod olarak altyapı (IaC) ve kod olarak politika (PaC) araçlarına karşı özel, alana özgü dillerden (DSL’ler) yararlanan iki yeni saldırı tekniğini açıkladılar. Bulut platformlarını ihlal edin ve verileri sızdırın.
Tenable kıdemli güvenlik araştırmacısı Shelly Raban, “Bunlar sınırlı yeteneklere sahip, güçlendirilmiş diller olduğundan, standart programlama dillerinden daha güvenli olmaları gerekiyor ve gerçekten de öyleler.” söz konusu Geçen hafta yayınlanan teknik bir raporda. “Ancak daha güvenli olmak kurşun geçirmez anlamına gelmez.”
OPA, kuruluşların mikro hizmetler, CI/CD işlem hatları ve Kubernetes gibi bulutta yerel ortamlarda politikaları uygulamalarına olanak tanıyan popüler, açık kaynaklı bir politika motorudur. Politikalar, adı verilen yerel bir sorgu dili kullanılarak tanımlanır. Rego o zaman hangileri değerlendirildi OPA tarafından bir kararın geri verilmesi.
Tenable tarafından geliştirilen saldırı yöntemi, tedarik zincirini hedef alıyor; burada bir saldırgan, bir OPA sunucusuna kötü amaçlı bir Rego politikası eklemek için tehlikeye atılmış bir erişim anahtarı aracılığıyla yetkisiz erişim elde ediyor ve bu daha sonra politika karar aşamasında kimlik bilgilerinin sızması gibi kötü niyetli eylemlere izin vermek için kullanılıyor. ” olarak bilinen yerleşik bir işlevhttp.gönder“
Siber güvenlik firması, OPA dağıtımının http.send kullanımını kısıtladığı durumlarda bile “adlı başka bir işlevin kullanılmasının mümkün olduğunu buldu”net.lookup_ip_addr” DNS tünellemesi olarak adlandırılan bir teknik aracılığıyla DNS aramalarını kullanarak verileri kaçırmak için.
Raban, “Dolayısıyla net.lookup_ip_addr işlevi, kısıtlamayı düşünebileceğiniz veya en azından politikalarda arayabileceğiniz başka bir işlevdir, çünkü aynı zamanda OPA dağıtımınızdan veri sızması riskini de beraberinde getirir” dedi.
OPA’ya benzer Terraform, amaçlar ile basitleştirmek bulut kaynaklarının kod tabanlı tanımlar aracılığıyla kurulması, dağıtılması ve yönetilmesi sürecidir. Bu yapılandırmalar, HashiCorp Yapılandırma Dili (HCL).
Bir saldırgan, açık kaynak IaC platformunu “dünya planı” genellikle GitHub’ın bir parçası olarak tetiklenen komut “pull_request” CI/CD işlemi sırasında kötü amaçlı bir veri kaynağı içeren incelenmemiş değişiklikleri yürütmek için iş akışları.
Tenable, “Veri kaynakları ‘terraform planı’ sırasında çalışıyor ve bu da saldırganların giriş noktasını önemli ölçüde azaltıyor” dedi. “Bu, halka açık bir depodaki harici bir saldırganın veya özel bir depodaki kötü niyetli bir içeriden (veya dayanağı olan harici bir saldırganın), kötü niyetli amaçları için bir çekme isteğinden yararlanabileceği için bir risk oluşturur.”
Bu veri kaynakları, sahte bir harici veri kaynağı, genel veya özel kayıtlar aracılığıyla paylaşılan bir Terraform modülü veya DNS veri kaynağıyalnızca güvenilir kaynaklardan alınan üçüncü taraf bileşenlerin kullanılmasını gerektirir. Bu tür riskleri azaltmaya yönelik diğer önerilerden bazıları şunlardır:
- Parçalı bir rol tabanlı erişim denetimi (RBAC) uygulayın ve en az ayrıcalık ilkesini izleyin
- İzleme ve analiz için uygulama düzeyinde ve bulut düzeyinde günlük kaydını ayarlayın
- Uygulamaların ve temeldeki makinelerin ağ ve veri erişimini sınırlandırın
- CI/CD işlem hatlarında incelenmemiş ve potansiyel olarak kötü amaçlı kodun otomatik olarak yürütülmesini önleyin
Ayrıca kuruluşlar şunları kullanabilir: IaC tarama araçları ve çözümleri Dağıtımdan önce yanlış yapılandırmaları ve uyumluluk sorunlarını önceden tespit etmek için Terrascan ve Checkov gibi.