Giriş
Son dönemde, TeamPCP siber suç grubu, Aqua Security’i hedef alarak Trivy adlı güvenlik aracı üzerinden tedarik zinciri saldırıları gerçekleştirmiştir. Bu olay, yazılım güvenliği alanında büyük bir tehdit oluşturmakta ve dikkatlice incelenmesi gerekmektedir.
Saldırı Nasıl Çalışıyor?
TeamPCP grubunun Aqua Security’nin GitHub organizasyonuna sızması, önceki bir olayın yetersiz kapatılması sonucunda gerçekleşti. Saldırganlar, Trivy’nin GitHub build pipeline’ını ele geçirerek aşağıdaki zararlı değişiklikleri yaptılar:
- Trivy sürüm 0.69.5 ve 0.69.6, 22 Mart’ta herhangi bir GitHub sürümü veya etiketi olmadan yüklendi.
- Açıklanan verilere göre, bu görüntüler bilgileri çalan bir kötü amaçlı yazılım ile ilişkilendirildi.
- Son bilinen Trivy sürümü ise 0.69.3’tür. Eski sürümlerin değiştirilip değiştirilmediğine dair herhangi bir kanıt bulunmamaktadır; ancak, Docker Hub etiketlerinin değiştirilebilecek olabileceği vurgulanmaktadır.
Etkilenen Sistemler
Saldırı, Aqua Security’nin hem özel hem de açık kaynak kodlarının bulunduğu iki farklı GitHub organizasyonu üzerinden gerçekleştirilmiştir. Öne çıkan noktalar:
- Hedef alınan servis hesabı: Argon-DevOps-Mgt
- Hesap, kişisel erişim belirteci (PAT) kullanarak yetkilendirilmişti.
- TeamPCP, söz konusu servisi ele geçirerek trivy-plugin-aqua deposuna yeni bir update-plugin-links-v0.218.2 dalı ekledi.
Aqua Security, bu olayın ardından 20 Mart’ta güvenli sürümler yayınlayarak ve Sygnia isimli bir olay müdahale firması ile işbirliğine giderek durumu düzeltmeye çalışmıştır.
Çözüm ve Korunma
Aqua Security, Trivy’nin ticari ürünlerinde herhangi bir etkilenme bulunmadığını belirtmiş olmasına rağmen, zararlı yazılımın etkilerini tespit etmek için belirli önlemler alınması gerekmektedir. Özellikle:
- Trivy’nin son sürümünü kullanıyor iseniz, en güncel sürümlere güncelleyin.
- Docker Hub üzerindeki etiketlerin güvenilirliğini yetersiz olarak değerlendirin.
- Hizmet hesaplarınızı gözden geçirerek, çok faktörlü kimlik doğrulama (MFA) kullanmaya özen gösterin.
Sonuç
Kullandığınız yazılımların güvenliği açısından en güncel sürümleri takip etmek ve gerekli güncellemeleri yapmak elzemdir. Trivy gibi popüler araçların güvenliği kritik öneme sahiptir; bu nedenle, mümkün olan en kısa sürede güncellemelerinizi gerçekleştirin ve Docker portlarınızı gerektiği şekilde kapatmayı unutmayın.
