Bir güvenlik araştırmacısı, Microsoft’un Azure Backup for AKS’deki bir zayıflığı sessizce düzelttiğini iddia etti. Bu durum, araştırmacının raporunu reddettikten sonra CVE verilmesinin engellenmesi ile önemli bir siber güvenlik sorunu yaratmıştır.
CVE ve Rapor Süreci
Güvenlik araştırmacısı Justin O’Leary, bu yıl Mart ayında kritik bir ayrıcalık yükseltme açığını tespit ederek 17 Mart’ta Microsoft’a bildirdi. Microsoft Güvenlik Cevap Merkezi (MSRC), 13 Nisan’da raporu reddederek, sorunun yalnızca “saldırganın zaten yönetici erişimine sahip olduğu bir kümede cluster-admin edinmekle” sınırlı olduğunu belirtti. O’Leary, bu tanımın saldırıyı tamamen yanlış yansıttığını ifade ediyor.
O’Leary: “Bu gerçeğe aykırı. Zayıflık, Kubernetes’te herhangi bir izne sahip olmayan bir kullanıcının cluster-admin yetkisi kazanmasını sağlıyor. Bu saldırı mevcut cluster erişimini gerektirmiyor; aksine onu sağlıyor.”
Microsoft, MITRE’ye başvuru hakkında “Yapay zeka tarafından üretilmiş içerik” olarak tanımlandıktan sonra O’Leary, konuyu CERT Koordinasyon Merkezi’ne taşıdı. CERT, 16 Nisan’da zayıflığı bağımsız olarak onayladı ve VU#284781 kimliğini atadı.
Saldırı Nasıl Çalışıyor?
Azure Backup for AKS, Kubernetes kümeleri içinde yedekleme genişletmelerine cluster-admin ayrıcalıkları vermek için Trusted Access kullanmaktadır. O’Leary’ye göre, bu zayıflık, yalnızca bir yedekleme kasasında Backup Contributor rolüne sahip olan herkesin, Kubernetes izinlerine sahip olmadan, bu Trusted Access ilişkisinin tetiklenmesine olanak tanıyordu.
Bir saldırgan, hedef AKS kümesinde yedeklemeyi etkinleştirerek Azure’un Trusted Access’i otomatik olarak cluster-admin ayrıcalıkları ile yapılandırmasını sağlayabiliyordu. Bu noktadan itibaren saldırgan, yedekleme işlemleri yoluyla gizli bilgileri çıkarabilir veya küme içine kötü amaçlı iş yükleri geri yükleyebilirdi.
O’Leary, konuyu Confused Deputy zayıflığı (CWE-441) olarak sınıflandırdı; burada Azure RBAC ve Kubernetes RBAC güven ilişkileri beklenen yetkilendirme kontrollerini aşacak şekilde etkileşimde bulunuyordu.
Etkilenen Sistemler
- Azure Backup for AKS
- Kubernetes
Çözüm ve Korunma
Güvenlik araştırmacısı O’Leary, Microsoft’un herhangi bir ürün değişikliği yapmadığını belirtse de, mevcut durumda sıkı izin kontrolleri ve Trusted Access’in manuel yapılandırılmasının gerekli hale geldiği görülüyor. Zayıflığın artık var olmadığına dair işaretler bulunmaktadır:
- Azure Backup for AKS, yedekleme etkinleştirildiğinde Trusted Access’i otomatik olarak değil, manuel olarak yapılandırıyor.
- Yetki kontrollerindeki değişiklikler, önceki testlerde mevcut olmayan ek kontroller içeriyor.
Microsoft, kamuya açık bir uyarı yayınlamadığı için kullanıcılar bu zayıflık hakkında bilgilendirilmedi.
Sonuç
Bu tür bir zayıflığın varlığı, kuruluşların hızlı bir şekilde güncellemeler yapmasını gerektirir. Eğer kuruluşunuz Azure Backup for AKS kullanıyorsa, aşağıdaki adımları takip etmenizi öneririm:
- Hızla sistemlerinizi güncelleyerek güncel güvenlik kontrollerini sağlamak.
- Belirli izinlerinizi gözden geçirerek yalnızca gerekli olan erişim haklarını vermek.
- Yedekleme Contributor rollerini kullanan kullanıcılar için izleme ve inceleme süreçlerini güçlendirmek.
Güvenliğinizi artırmak için bu adımları takip etmeniz, olası tehditlere karşı hazırlıklı olmanızı sağlayacaktır.
