Yeni Bir Siber Güvenlik Tehditi: Cordyceps
Siber güvenlik araştırmacıları, CI/CD (Continuous Integration/Continuous Deployment) iş akışlarındaki zafiyetleri istismar ederek açık kaynaklı tedarik zincirlerini tehlikeye atan yeni bir tehdit sınıfını keşfetmiş durumda. Bu zafiyet, birkaç büyük organizasyonun (Microsoft, Google, Apache, Cloudflare gibi) depolarında tam kontrol sağlamaktadır.
Saldırı Nasıl Çalışıyor?
Novee Security tarafından “Cordyceps” olarak adlandırılan bu kritik zafiyet, herhangi bir kimlik doğrulaması olmayan kullanıcının istismar etmesine olanak tanımaktadır. CVE kodları, etkilenebilecek sistemlerle ilgili yapılan araştırmalar, bu tehlikenin çok büyük boyutlarda olduğunu göstermektedir. Özellikle, CI/CD yapılandırmalarındaki zayıflıklar, pull request (PR) sürecine gereğinden fazla izin vermekte ve bu da saldırganların:
- Yetkisiz kod çalıştırması,
- Kredi bilgilerini çalması,
- Tedarik zincirini bozması gibi eylemleri gerçekleştirmesine olanak tanımaktadır.
Yapılan taramalar sonucunda, yaklaşık 30.000 yüksek etkiye sahip depodan 300’den fazlasının tam olarak istismar edilebileceği belirlenmiştir.
Etkilenen Sistemler
Bu zafiyet, çeşitli platformlarda tespit edilmiştir. İşte bazı örnekler:
- Apache Doris: İki sıfır tıklamalı saldırı, bir PR’daki tek bir yorumun saldırgan kodunu çalıştırarak sert kodlanmış CI bilgilerinin veya tam yazma izinlerine sahip bir token’ın dışarı sızdırılmasına neden oluyor.
- Cloudflare Workers SDK: Hazırlanmış bir dal adı ile oluşturulan PR, Cloudflare’ın CI çalışanlarında rastgele komutlar çalıştırabiliyor.
- Python Software Foundation’ın Black: Herhangi bir kullanıcı tarafından gönderilen tek bir pull request, Black’in yapım sistemlerinde saldırgan kodunu çalıştırarak otomasyon token’ını çalmasına olanak tanıyor.
Microsoft ve Google, bu bulguların etkisini doğrulamıştır; Cloudflare, Python ve Apache ise düşürme ve yamanma işlemlerini gerçekleştirmiştir.
Çözüm ve Korunma
Bu zafiyetlerin etkili olabileceği durumları sınırlamak için aşağıdaki öneriler dikkate alınmalıdır:
- Yapılandırmalarınızı gözden geçirin ve PR’ların izinlerini sınırlandırın.
- Tüm iş akışlarının ve onayların dikkatlice incelenmesini sağlayın.
- Açık kaynak bileşenlerinizi düzenli olarak güncelleyin. Belirli zafiyetlere karşı yamaları ya da güncellemeleri uygulayın.
Güvenlik açıklarını kapatmak için özellikle CVE kodlarındaki güncellemeleri takip etmek ve yazılımlarınızı sürekli güncel tutmak büyük önem taşımaktadır.
Sonuç ve Eylem Planı
Bu tür zafiyetlerin istismarı, yazılım tedarik zincirinde ciddi sorunlara yol açabilir. Okuyucularımızın, özellikle CI/CD yapılandırmalarını gözden geçirip güvenlik önlemlerini artırmalarını ve sistemlerini güncellemelerini öneriyoruz. Gerekirse port kapama ve sınırlama gibi ek güvenlik önlemleri almayı ihmal etmeyin.
