Giriş
Trivy, Aqua Security tarafından geliştirilen popüler bir açık kaynak zafiyet tarayıcısı, son bir ay içinde ikinci kez kötü niyetli yazılımları dağıtmak amacıyla ele geçirildi. Bu olay, CI/CD sistemlerinden hassas bilgilerin çalınmasıyla sonuçlanması bakımından son derece önemli bir siber güvenlik tehdidi oluşturuyor.
Saldırı Nasıl Çalışıyor?
Son saldırıda, saldırganlar CVE-2023-XXXX kodu ile tanımlanan bir vektörü kullandı ve aquasecurity/trivy-action ile aquasecurity/setup-trivy adlı GitHub Actions’ın güvenilir sürüm etiketlerini manipüle ederek kötü amaçlı yükleri dağıttı. Socket güvenlik araştırmacısı Philipp Burckhardt’ın belirttiğine göre, saldırgan 76 versiyon etiketinden 75’ini zorla göndererek, güvenilir sürüm referanslarını bir infostealer dağıtım mekanizması haline getirdi.
Kötü amaçlı yük, GitHub Actions çalıştırıcıları içinde yürütülmekte ve CI/CD ortamlarından değerli geliştirici sırlarını çalmayı hedeflemektedir. Bu sırlarla birlikte; SSH anahtarları, bulut hizmet sağlayıcıları için kimlik bilgileri, veritabanı erişim bilgileri, Git ve Docker yapılandırmaları, Kubernetes jetonları ve kripto para cüzdanları gibi kritik bilgiler de ele geçirilmektedir.
Etkilenen Sistemler
Bu olay özellikle aşağıdaki sistemleri ve bileşenleri etkilemiştir:
- aquasecurity/trivy-action: Docker görüntülerinin zafiyetlerini taramak için kullanılan GitHub Action.
- aquasecurity/setup-trivy: Trivy tarayıcısının belirli bir versiyonunu kurmak için kullanılan GitHub Action.
- CI/CD ortamları ile entegre çalışan GitHub işlemleri.
Çözüm ve Korunma
Saldırının sonuçlarını en aza indirmek ve sistemlerinizi korumak için aşağıdaki adımları uygulamanız önemlidir:
- Tüm pipeline sırlarınızın komproze olduğunu varsayarak hemen yenileyin.
- Man-in-the-middle saldırılarına karşı tüm bağlantıları güvenli hale getirin.
- 45.148.10[.]212 IP adresini ve kötü amaçlı alan adlarını ağ düzeyinde engelleyin.
- GitHub hesaplarınızı kontrol edin; “tpcp-docs” isimli bir depo varsa bu, verilerin başarılı bir şekilde çalındığının belirtisi olabilir.
- GitHub Actions’ı versiyon etiketleri yerine tam SHA hash değerleri ile sabitleyin.
Kısa bir sürede uygun güncellemeleri uygulamak ve sistemlerinizi gözden geçirmek, siber güvenlik risklerinizi önemli ölçüde azaltacaktır. Unutmayın, her zaman en güncel sürümleri kullanmak en iyi koruma yoludur.
