Python Paketlerinde Alan Ele Geçirme Riski: Eski Bootstrap Scriptleri
Son zamanlarda siber güvenlik araştırmacıları, Python Paket Endeksi’nde (PyPI) alan ele geçirme saldırılarına zemin hazırlayan zayıf kodlar keşfettiler. Bu zayıflığın, yazılım tedarik zinciri güvenliği alanında önemli bir endişe kaynağı olduğu görülüyor. Yazılım tedarik zinciri güvenliği şirketi ReversingLabs, bu “zayıflığı” zc.buildout adındaki bir otomasyon aracına ait bootstrap dosyalarında tespit etti.
Bootstrap Scriptlerinin Tehlikesi
Siber güvenlik uzmanı Vladimir Pezo, bootstrap scriptinin çalıştırıldığında, artık satılık olan python-distribute.org adresinden Distribute paketinin kurulum scriptini indirdiğini ve çalıştırdığını belirtiyor. Eski ve kullanılmayan bu alan adı, kötü niyetli kişiler tarafından kullanılabilir hale gelmiştir. ReversingLabs, bu zayıflığı, tornado, pypiserver, slapos.core, roman, xlutils ve testfixtures gibi birçok paket içerisinde tespit etti.
Eski Paylaşımlar ve Olası Tehditler
Problemin kökeni, zc.buildout aracı ile Buildout ortamını başlatmak için kullanılan bir eski bootstrap scriptine dayanıyor. Bu script, Distribute isimli bir paket yöneticisini yüklemek için tasarlanmıştır. Ancak Distribute, 2014 yılından beri satılık olan bir alan adı üzerinden indirilmekte ve bu durum kullanıcıları büyük bir risk altında bırakmaktadır. Zira, kötü niyetli bir kişi bu alan adını ele geçirirse, script kullanılarak zararlı yazılımlar yayılabilir.
ReversingLabs’ın tespit ettiği sorun, pek çok paketin hala eski bootstrap scriptini içermesi ve gerektiğinde Distribute paketinin yüklenmesini sağlamasıdır. Bu durum, varsayılan olarak Distribute yüklemeye çalışarak geliştiricileri ve kullanıcıları riske atmaktadır. Bazı paketler bu alanda önlemler alırken, slapos.core gibi bazıları hala bu zayıf kodları içermektedir.
Siber Güvenlik Uyarıları ve Önlemler
Sadece bootstrap scriptlerinin varlığı bile, geliştiriciler yanlışlıkla bu scripti çalıştırdığında kötü niyetli kişilerin saldırı yüzeyini artırmaktadır. Bootstrap scriptinin Python 2 ile yazılmış olması, Python 3 ile çalıştırılamayacağını göstermektedir. Ancak, bu güvenlik açığı hala bir tehdit oluşturmaktadır.
Alan ele geçirme tehdidi, yalnızca kuramsal bir durum değildir. 2023 yılında npm paketlerinden biri olan fsevents’in, kötü niyetli bir kişi tarafından ele geçirildiği ve kullanıcıların kötü amaçlı yazılımlarla karşılaştığı tespit edilmiştir. Bu durum, alan ele geçirme olasılığının ne kadar ciddi olabileceğini ortaya koymaktadır.
Sonuç ve Çözüm Önerileri
Geliştiricilerin, projelerinde bu tür eski ve zayıf bootstrap scriptleri kullanmaktan kaçınmaları önemlidir. Kurulum işlemleri için yalnızca güncel ve güvenilir paketleri tercih etmek, olası saldırılara karşı bir önlem niteliğindedir. Ayrıca, zayıf kodların varlığını minimize etmek için sürekli güncellemeler yapılmalı ve eski domainlerin takibi sağlanmalıdır.
Bu gibi dikkat edilmesi gereken detaylar, yazılım dünyasında güvenliği artırmanın ve siber saldırılara karşı daha dayanıklı hale gelmenin yollarındandır. Çünkü siber saldırılar, her an gerçekleşebilir ve bu durum, farkında olmadığımız köklü sorunlar ile daha da kötüleşebilir.
